📦 Cloud Misconfig Scanner — 云配置安全扫描器
v1.0.0自动化安全扫描工具,识别和报告跨云基础设施提供商的配置错误。适用于安全团队、DevOps工程师和云架构师,提供持续的云安全状况可视性。
0· 143·0 当前·0 累计
安全扫描
OpenClaw
可疑
medium confidence该技能的功能(云配置扫描)与其请求的凭证相符,但它仅是一个对第三方API(未知来源)的指令包装,鼓励在没有安全指导的情况下发送高度敏感的云凭证 — 这一致但风险高、文档不足。
评估建议
该技能似乎是一个对第三方云扫描API的薄包装。使用前:1) 不要粘贴长期根或管理员密钥 — 使用短期、最小权限凭证(临时STS令牌或明确范围的只读账户)。2) 验证供应商(toolweb.in / api.mkkpro.com):检查TLS、隐私/安全策略、数据保留和是否支持短期凭证。3) 首先扫描非生产/测试账户,并旋转使用的凭证。4) 如果无法验证提供商,请考虑自托管或在账户内的扫描器(开源工具或从环境内部运行扫描)以避免将敏感凭证发送到未知的外部服务。...详细分析 ▾
ℹ 用途与能力
该技能声称扫描云提供商,其请求结构明确要求提供商凭证,与描述的目的一致。然而,SKILL.md引用了外部端点(toolweb.in和api.mkkpro.com),包元数据没有提供可信的所有者/主页;文档没有明确说明提交的凭证将被传输或存储在哪里。
⚠ 指令范围
指令呈现了一个API界面,期待在请求体中包含原始云凭证,并包括示例秘密。它们没有限制或建议如何范围凭证(例如,仅读取、短期),也没有描述数据处理、保留或扫描运行的位置。文档有效地指示代理将敏感凭证发送到远程服务,无安全保障或明确的同意语言。
✓ 安装机制
没有安装规范和代码文件 — 这是仅指令的,所以安装时没有写入磁盘。降低了本地执行风险。主要风险来自于文档中描述的对外部API的网络调用。
⚠ 凭证需求
虽然该技能不需要代理的环境变量,但它要求用户在API请求中提供云凭证。这对于外部扫描器来说是合理的,但该技能缺乏指导以使用最小权限或临时凭证,并且它没有声明主要凭证或任何处理/保留策略用于敏感秘密 — 增加了凭证暴露的风险。
✓ 持久化与权限
always 为 false,该技能不请求持久系统权限或修改其他技能。允许自主调用(平台默认),这对于可调用技能来说是预期的,但应该考虑当与凭证处理问题结合时。
安装前注意事项
- 不要粘贴长期根或管理员密钥 — 使用短期、最小权限凭证(临时STS令牌或明确范围的只读账户)。
- 验证供应商(toolweb.in / api.mkkpro.com):检查TLS、隐私/安全策略、数据保留和是否支持短期凭证。
- 首先扫描非生产/测试账户,并旋转使用的凭证。
- 如果无法验证提供商,请考虑自托管或在账户内的扫描器(开源工具或从环境内部运行扫描)以避免将敏感凭证发送到未知的外部服务。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/21
● 可疑
安装命令
点击复制官方npx clawhub@latest install cloud-misconfig-scanner
镜像加速npx clawhub@latest install cloud-misconfig-scanner --registry https://cn.longxiaskill.com
技能文档
云配置安全扫描器