by 安全扫描
OpenClaw
可疑
high confidence该技能主要功能是查询友盟数据,但包含硬编码的凭证和与 SKILL.md 冲突的硬编码用户特定配置路径——这些不匹配令人怀疑,在安装前需要谨慎对待。
评估建议
该技能似乎实现了合法的友盟 API 调用,但在安装前存在以下需要考虑的风险点:1) 代码库在 config.json 中包含明文友盟凭证(apiKey 和 apiSecurity)——请将这些视为敏感信息,不要假设可以安全重用。如果这些是真实凭证,应该进行轮换并移除。2) Python 脚本使用了绝对的、用户特定的 CONFIG_PATH(/Users/zhangjing/...),这与 SKILL.md 的工作区相对路径不同。这意味着脚本可能会读取特定主目录中的文件,而不是技能的工作区——这是一个具体风险(可能会访问预期目录之外的文件)且属于打包错误。3) 项目来源为「未知」,没有主页或发布者信息——对凭证和来源应格外谨慎。建议:- 不要盲目安装。在隔离环境(sandbox/容器)中检查并(理想情况下)运行代码。- 移除或替换嵌入的凭证:将 apiKey/apiSecurity 移至安全的环境变量或受工作区保护的配置中,并更新脚本以读取工作区相对路径(或遵循 SKILL.md)。- 如果你是列出的友盟账户所有者,如果怀疑 apiSecurity 已泄露,请进行轮换。- 如果你需要此技...详细分析 ▾
ℹ 用途与能力
名称/描述与包含的代码和配置匹配:脚本调用友盟网关端点,config.json 包含 apiKey/apiSecurity 和应用 ID。这些凭证和应用密钥与友盟查询功能一致。然而,将明文 apiSecurity 捆绑在代码库中而不是使用声明的环境凭证是不寻常的,增加了暴露风险。
⚠ 指令范围
SKILL.md 指示在 ~/.openclaw/workspace/skills/umeng-crash-stats/config.json(相对路径)下解析配置,但 Python 脚本使用了硬编码的绝对 CONFIG_PATH:'/Users/zhangjing/.openclaw/workspace/skills/umeng-crash-stats/config.json'。这种不匹配是范围蔓延/风险:代码将读取特定用户的主路径而不是工作区相对路径,这可能导致它访问主机上技能预期目录之外的文件或不可预测地失败。运行时指令不需要或提及任何不相关的文件读取,但代码的硬编码路径会这样做。
✓ 安装机制
没有安装规范;该技能是纯指令式的,包含捆绑的脚本和配置。没有下载或外部安装程序。这最大程度地降低了安装时风险,因为安装步骤不会获取或写入任何内容。
ℹ 凭证需求
不需要环境变量,相反代码库在 config.json 中包含 apiKey 和 apiSecurity。这些是调用友盟所需的凭证,因此与目的成正比——但在分发的配置文件中嵌入密钥是不良做法,会增加密钥暴露。另外,配置包含许多应用 ID,这对于分析工具来说是预期的。
✓ 持久化与权限
该技能不请求「always: true」也不修改其他技能配置。它按需运行,仅执行到友盟网关的网络调用。除了读取硬编码的配置文件外,没有持久特权行为的证据。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
初始版本:20 个应用的 U-APM 崩溃统计 + U-App 分析
● 可疑
安装命令
点击复制官方npx clawhub@latest install umeng-stats
镜像加速npx clawhub@latest install umeng-stats --registry https://cn.longxiaskill.com镜像同步中
技能文档
用户未提供 SKILL.md 文档内容,无法翻译。