安全扫描
OpenClaw
可疑
medium confidence该技能的描述与云合规扫描器匹配,但运行时指令将任意云配置数据发送到第三方端点,而没有声明凭证或安装——这种不匹配和发送敏感配置到外部服务的潜在风险令人担忧。
评估建议
在安装或使用该技能之前,请考虑:(1)技能将指示您将云配置数据发送到外部端点(toolweb.in / api.mkkpro.com),在验证供应商之前,请勿发送机密信息、长期 API 密钥或生产配置。(2)向发布者请求官方主页、隐私/安全策略和文档,描述远程 API 存储和保护提交数据的方式。(3)如果必须处理敏感云状态,优先使用本地或供应商信任的工具进行扫描。(4)如果进行测试,请使用非敏感样本配置。(5)如果需要访问云 API 的自动化扫描,优先选择明确声明所需凭证并描述安全身份验证流程(例如临时基于角色的访问)的技能,而不是要求您将凭证粘贴到自由文本字段中。...详细分析 ▾
⚠ 用途与能力
SKILL.md 描述了对云提供商(AWS、Azure、GCP、Kubernetes)进行合规审计的功能。然而,该技能没有声明所需的环境变量、凭证或配置路径。实际的云扫描通常需要提供商凭证或明确的指示,以便提供基础设施状态;这种不匹配(没有声明身份验证但具有扫描提供商的能力)是无法解释的。
⚠ 指令范围
指令定义了一个 /check-compliance API 和包含 'config' 负载的示例请求。它们隐式地要求发送可能敏感的云配置和可能的凭证到远程端点(toolweb.in / api.mkkpro.com)。SKILL.md 没有限制 'config' 中应包含的内容,也没有警告关于敏感数据,因此如果用户提供这些数据,可能会导致机密信息的外泄。
✓ 安装机制
仅指令的技能,没有安装规范和代码文件;没有内容写入磁盘或安装,从而降低了供应链风险。openapi.json 仅为本地描述。
⚠ 凭证需求
尽管该功能通常需要访问云账户或基础设施状态,但没有声明环境变量、凭证或配置路径。这可能意味着服务期望用户将凭证/配置粘贴到请求中(风险高)或该技能不完整/未完全指定。
✓ 持久化与权限
始终为 false 且技能未强制安装。允许模型调用(默认),但这正常,不是问题。
安装前注意事项
- 该技能将指示您将云配置数据发送到外部端点(toolweb.in / api.mkkpro.com),在验证供应商之前,请勿发送机密信息、长期 API 密钥或生产配置。
- 向发布者请求官方主页、隐私/安全策略和文档,描述远程 API 存储和保护提交数据的方式。
- 如果必须处理敏感云状态,优先使用本地或供应商信任的工具进行扫描。
- 如果进行测试,请使用非敏感样本配置。
- 如果需要访问云 API 的自动化扫描,优先选择明确声明所需凭证并描述安全身份验证流程(例如临时基于角色的访问)的技能,而不是要求您将凭证粘贴到自由文本字段中。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/21
● 可疑
安装命令 点击复制
官方npx clawhub@latest install cloud-compliance-checker
镜像加速npx clawhub@latest install cloud-compliance-checker --registry https://cn.clawhub-mirror.com
技能文档
(注意:由于原始内容较长且包含代码块、命令行指令和 Markdown 格式,以下仅提供翻译后的 Markdown 文本,代码块和指令保持不变)
name: Cloud Compliance Checker description: Validates cloud infrastructure configurations against industry compliance standards and regulatory frameworks.
# 概述 云合规性检查器是一款强大的 API,用于对云基础设施进行多个合规标准和监管要求的审计。它使安全团队、云架构师和合规官员能够系统地验证云部署是否满足所需的安全姿势和合规基准。该工具支持主要云提供商和合规框架,允许组织对云配置进行自动化合规验证。无论您是在准备安全审计、维护连续合规还是验证基础设施即代码部署,该 API 提供了快速、标准化的合规评估,基于公认标准。理想的用户包括在 CI/CD 管道中自动化合规检查的 DevSecOps 团队、验证多云部署的云安全工程师、进行基础设施审查的合规审计师以及在多样化云环境中管理监管义务的组织。
用法
示例请求:{ "provider": "aws", "standard": "cis", "config": "{\"region\": \"us-east-1\", \"scan_type\": \"full\"}" }
{ "compliance_status": "passed", "provider": "aws", "standard": "cis", "checks_performed": 156, "checks_passed": 154, "checks_failed": 2, "compliance_percentage": 98.7, "failed_checks": [ { "check_id": "CIS-1.2", "title": "Ensure MFA is enabled for all IAM users", "severity": "high", "resource": "iam-user-admin" }, { "check_id": "CIS-2.1", "title": "Ensure CloudTrail is enabled on all regions", "severity": "medium", "resource": "eu-west-1" } ], "timestamp": "2024-01-15T10:30:00Z", "scan_duration_seconds": 42 }
端点
POST /check-compliance
执行针对指定云提供商和合规标准的全面合规审计。 方法:POST
路径: /check-compliance
参数:
| 名称 | 类型 | 是否必需 | 描述 |
|---|---|---|---|
provider | string | 是 | 云提供商标识符(例如 aws、azure、gcp、kubernetes) |
standard | string | 是 | 合规框架或标准(例如 cis、pci-dss、hipaa、sox、nist、iso27001) |
config | string | 否 | 包含提供商特定配置选项的 JSON 字符串。默认:"{}"。支持参数,如区域、扫描类型、资源过滤器等。 |
compliance_status:总体状态(通过/失败/警告)provider:检查的云提供商standard:使用的合规标准checks_performed:执行的合规检查总数checks_passed:通过的检查数量checks_failed:失败的检查数量compliance_percentage:通过的检查百分比failed_checks:失败检查数组,包含检查 ID、标题、严重性和资源timestamp:UTC 时间戳scan_duration_seconds:扫描完成所需时间
{ "detail": [ { "loc": ["body", "provider"], "msg": "field required", "type": "value_error.missing" } ] }
定价
| 计划 | 每日调用 | 每月调用 | 价格 |
|---|---|---|---|
| 免费 | 5 | 50 | 免费 |
| 开发者 | 20 | 500 | $39/月 |
| 专业 | 200 | 5,000 | $99/月 |
| 企业 | 100,000 | 1,000,000 | $299/月 |
- 200+ 安全 API,CISSP & CISM,平台:按运行付费、API 网关、MCP 服务器、OpenClaw、RapidAPI、YouTube。
- toolweb.in
- portal.toolweb.in
- hub.toolweb.in
- toolweb.in/openclaw/
- rapidapi.com/user/mkrishna477
- youtube.com/@toolweb-009
参考文献
- Kong 路由: https://api.mkkpro.com/compliance/cloud-compliance
- API 文档: https://api.mkkpro.com:8019/docs
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制