Byted Vefaas Skills — veFaaS — 火山引擎无服务器应用部署
v1.0.0在火山引擎veFaaS上部署和管理无服务器应用。用于部署Web应用、管理函数(拉取代码、上传和部署)、配置环境变量或处理veFaaS服务。
0· 63·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与其声明的用途(管理veFaaS应用)相符,但缺乏来源证明,并要求你从外部tarball安装CLI,且依赖未在元数据中声明的凭据和本地文件——请谨慎操作。
评估建议
该技能似乎是火山引擎veFaaS CLI的常规指南,但在安装或运行其命令之前,你应该考虑以下几个危险信号:
- 来源验证:技能提供了一个npm tarball URL,而不是GitHub发布版本或知名包注册表,且注册表元数据没有首页或来源。在运行之前,请通过官方火山引擎/veFaaS页面验证安装URL。
- 安装风险:npm i -g <tarball> 将执行来自该tarball的代码。如果无法确认来源,避免在主机器上全局安装;考虑使用隔离环境(容器/VM)或先检查tarball内容。
- 凭据和密钥:文档说明了VOLC_ACCESS_KEY_KEY/VOLC_SECRET_ACCESS_KEY、SSO的使用,以及导入.env文件。凭据预计存储在~/.vefaas/auth.json中,调试日志包含完整API响应——请检查并保护这些文件,避免导入包含不必要密钥的文件。
- 最小权限:如果必须使用AK/SK,请创建具有最小权限的密钥(不是root/admin),使用后进行轮换。
- 审计日志/配置:使用后,检查~/.vefaas/(日志和auth.json)并删除任何不希望持久化的敏感...详细分析 ▾
✓ 用途与能力
名称/描述与指令和指南相符:所有命令都涉及安装和使用veFaaS CLI来部署和管理函数、设置环境变量、拉取/推送代码和查看配置。
ℹ 指令范围
SKILL.md和指南说明运行许多vefaas CLI命令(login、deploy、env import、pull、inspect)以及读写本地文件(.vefaas/config.json、~/.vefaas/logs/、.env)。这对于部署CLI是预期的,但文档明确建议导入.env文件,并指出调试日志包含完整JSON响应——两者处理不当都可能暴露密钥。此外,SKILL元数据没有声明文档建议使用的环境变量。
⚠ 安装机制
没有注册表安装规范;SKILL.md建议运行npm i -g直接针对tarball URL(https://vefaas-cli.tos-cn-beijing.volces.com/volcengine-vefaas-latest.tgz)。从任意tarball安装npm包会执行远程代码,风险高于从知名注册表或已验证的发布主机安装。tarball主机看起来是供应商特定的,但无法从技能元数据验证包来源(没有首页/来源)。
⚠ 凭证需求
技能元数据没有声明所需的环境变量,但文档引用了VOLC_ACCESS_KEY_ID、VOLC_SECRET_ACCESS_KEY、VOLC_SESSION_TOKEN并提供了AK/SK登录示例。CLI将凭据保存到~/.vefaas/auth.json,调试日志据说包含完整JSON API响应——这种组合增加了密钥被本地存储或记录的风险。凭据请求与其声明的用途相称,但元数据不匹配以及日志/配置中可能包含敏感数据的问题值得注意。
ℹ 持久化与权限
CLI将配置和身份验证存储在~/.vefaas/和项目级.vefaas/config.json中;always=false(无强制全局包含)。持久化凭据/配置对于CLI来说是正常的,但用户应该注意凭据和完整调试输出可能会写入磁盘。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/30
vefaas技能 for Volcengine FaaS CLI 初始版本。 - 支持在火山引擎veFaaS上部署和管理无服务器应用。 - 支持身份验证、环境变量配置、代码部署和函数管理。 - 提供简洁的CLI命令和工作流程说明。 - 包含常见使用场景的参考和快速入门指南。 - 提供故障排除建议和非交互模式以支持自动化。
● 无害
安装命令 点击复制
官方npx clawhub@latest install byted-vefaas-skills
镜像加速npx clawhub@latest install byted-vefaas-skills --registry https://cn.clawhub-mirror.com
技能文档
vefaas 是火山引擎函数服务(veFaaS)的命令行工具。它通过简化的工作流程实现无服务器应用部署、函数管理和配置。
安装
npm i -g https://vefaas-cli.tos-cn-beijing.volces.com/volcengine-vefaas-latest.tgz
验证安装:
vefaas --version
核心工作流程
典型的部署模式:
- 检查 Node.js:
node --version(需要 >= 18,推荐 20+)
nvm use 20)或 fnm(fnm use 20)切换,或手动安装新版本- 检查 CLI:
vefaas --version验证安装
- 检查认证:
vefaas login --check验证登录状态
vefaas login --sso(打开浏览器,用户授权后自动完成——无需手动输入)- 部署:
vefaas deploy --newApp--gatewayName $(vefaas run listgateways --first) --yes
- 访问:
vefaas domains查看URL
快速命令
| 用途 | 命令 |
|---|---|
| 检查认证 | vefaas login --check |
| 登录(SSO) | vefaas login --sso(非交互:打开浏览器,授权后自动完成,推荐) |
| 登录(AK/SK) | vefaas login --accessKey |
| 从模板初始化 | vefaas init --template |
| 部署新应用 | vefaas deploy --newApp |
| 部署现有应用 | vefaas deploy --app |
| 列出网关 | vefaas run listgateways --first |
| 查看URL | vefaas domains |
| 设置环境变量 | vefaas env set KEY VALUE |
| 查看配置 | vefaas config list |
| 拉取代码 | vefaas pull --func |
| 检查项目 | vefaas inspect |
全局选项
| 选项 | 描述 |
--------|-------------|
| -d, --debug | 启用调试模式以排除故障 |
| --yes | 非交互模式(CI/AI编码必需) |
| --region | 区域覆盖(例如 cn-beijing)
指南
常见场景的分步指南:
参考资料
特定主题的详细文档:
重要说明
- 在 CI/CD 和 AI 编码场景中始终使用
--yes以启用非交互模式 - 使用
$(vefaas run listgateways --first)获取可用网关 - 链接后配置存储在
.vefaas/config.json中 - 使用
--debug或-d排除问题
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制