by 安全扫描
OpenClaw
可疑
high confidence该技能实现阿里云 RDS Supabase 管理,但运行指令需要云凭证和敏感配置,且注册元数据未声明环境变量,存在不一致,使用前应澄清。
评估建议
该技能看似合法的阿里云 RDS Supabase 管理器,但 SKILL.md 需要阿里云访问密钥(ALICLOUD_ACCESS_KEY_ID 和 ALICLOUD_ACCESS_KEY_SECRET)或凭证文件,而注册元数据未声明。使用前应:(1)仅提供最小权限 RAM 用户/角色;(2)确认作者更新元数据声明环境变量;(3)明确批准所有区域查询;(4)注意输出文件可能包含敏感数据;(5)询问发布者关于所需权限和最小权限策略。...详细分析 ▾
⚠ 用途与能力
名称/描述与 SKILL.md 匹配,通过 RDS AI OpenAPI 管理阿里云 RDS Supabase。但技能元数据未列出所需环境变量或主要凭证,而 SKILL.md 明确指示使用阿里云 AccessKey 凭证(ALICLOUD_ACCESS_KEY_ID / ALICLOUD_ACCESS_KEY_SECRET 和可选 ALICLOUD_REGION_ID)或标准凭证文件。元数据中的此遗漏是一个一致性问题:云管理技能合理地需要凭证,应该声明。
⚠ 指令范围
SKILL.md 提供具体的运行时指令:读取环境变量、检查 ~/.alibabacloud/credentials、选择区域(并可选执行所有区域查询)、调用许多读/写 API 操作,并将 API 响应保存到 output/alicloud-database-rds-supabase/。这些指令一般在技能声明的目的范围内,但也启用了广泛的枚举(所有区域 DescribeAppInstances)并指示写入可能包含秘密(端点、认证信息、密码)的输出。文档还引用了存储配置字段(例如 AWS_ACCESS_KEY_ID / AWS_SECRET_ACCESS_KEY)——技能可能在修改存储时请求或处理第三方云凭证,这是一种应明确的范围扩展。
✓ 安装机制
仅指令的技能,无安装规格和代码文件;安装风险最低。安装步骤不会写入磁盘。运行时行为完全依赖 SKILL.md 指令和代理环境。
⚠ 凭证需求
SKILL.md 合理地需要阿里云凭证和可选区域,但注册元数据未列出。SKILL.md 还引用了标准凭证文件路径 (~/.alibabacloud/credentials) 和存储配置参数,可能包含第三方云凭证(例如 AWS_ACCESS_KEY_ID/SECRET,S3 端点)。请求阿里云凭证与目的成比例,但从声明的要求中省略和可能需要额外的存储凭证是不一致的,可能会让用户感到困惑。
✓ 持久化与权限
该技能不是始终启用的,不请求提升的平台权限。它不声称修改其他技能或全局代理设置。默认允许自主调用(对于技能来说是正常的);将其与用户提供的云凭证结合,赋予技能在云资源上执行操作的能力——对于这种类型的技能来说这是预期的,但用户应该明确授权。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/11
2026-03-11 从 alicloud-skills 批量发布
● 无害
安装命令 点击复制
官方npx clawhub@latest install alicloud-database-rds-supabase
镜像加速npx clawhub@latest install alicloud-database-rds-supabase --registry https://cn.clawhub-mirror.com
技能文档
管理阿里云 RDS Supabase(RDS AI 服务 2025-05-07)通过 OpenAPI。支持实例创建、启动/停止/重启、密码重置、查询端点/认证/存储、配置认证/RAG/IP 白名单等。适用于阿里云用户管理数据库服务。...(以下内容保持原文未翻译,仅示例)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制