by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与其 Jira 目的相符且连贯,但 SKILL.md 需要敏感的 Jira 凭据和 CLI 执行,而注册表/清单声明没有所需的环境变量 —— 这个不匹配和在运行时使用 shell HTTP 调用秘密值得谨慎。
评估建议
该技能似乎正确地记录了如何调用 Jira Cloud REST 端点,并需要 Jira 凭据才能运行。安装或启用之前,请确认平台将:1) 提示您提供所需的 ATREST_* 环境变量(基础 URL 和基本身份验证的 API 令牌 + 电子邮件或承载令牌)并安全存储它们(不在明文存储库文件中);2) 防止 CLI/日志输出泄露秘密(检查代理日志、stdout/stderr 处理和临时文件生命周期);3) 如果您想限制它可以发送数据的位置,则限制代理的出站网络访问。主要的红旗是包装不匹配:注册表/清单没有声明所需的环境变量,尽管 SKILL.md 强制要求它们 —— 在使用前请让发布者或您的平台管理员解决这个问题。如果您需要更低风险的测试,请先在受控/测试环境中手动运行命令(使用测试 Jira 账户/令牌并检查临时文件和日志)。...详细分析 ▾
⚠ 用途与能力
技能的名称/描述(Jira Cloud REST v3 操作)与 SKILL.md 内容一致:它指示代理调用 Jira Platform v3 和 Agile REST 端点用于问题、评论、工作日志、看板和冲刺。然而,运行时指令强制要求多个 ATREST_ 环境变量(基础 URL、身份验证模式、电子邮件、API 令牌或承载令牌等),这些对于描述的功能是必要的,但注册表元数据没有列出所需的环境变量或主要凭据。注册表/清单的这一遗漏是不一致的,可能导致平台未提示技能实际需要的凭据。
ℹ 指令范围
SKILL.md 明确要求构建和执行真实的 CLI HTTP 调用(Linux 上的 curl 或 Windows 上的 curl.exe/Invoke-RestMethod),将 JSON 负载写入临时文件,对基本身份验证的凭据进行 base64 编码,解析 JSON 响应和分页。这些操作在声明的目的内(执行 Jira REST 操作),但赋予了技能从主机执行任意出站 HTTP 请求和读取环境变量的能力。文档禁止打印秘密,但运行时行为将取决于代理/平台实现(日志记录、stdout/stderr 处理)。
✓ 安装机制
没有安装规格和代码文件执行 —— 这是一个仅指令的技能。从安装向量角度来看,这是较低风险的,因为技能包本身没有写入新内容到磁盘。然而,运行时合同确实指示在使用期间创建临时文件用于有效负载。
⚠ 凭证需求
SKILL.md 需要敏感的环境值(ATREST_JIRA_BASE_URL、ATREST_JIRA_AUTH_MODE、ATREST_JIRA_EMAIL、ATREST_JIRA_API_TOKEN 或 ATREST_JIRA_BEARER_TOKEN),这些对于 Jira 集成是合适的。比例性问题是注册表元数据/清单没有声明这些要求(它列出了“Required env vars: none”和“Primary credential: none”),因此平台用户可能不会被提前告知需要秘密。此外,由于技能运行 CLI 命令并对基本身份验证的凭据进行 base64 编码,如果主机/代理不保护它们,可能会通过日志或临时文件意外暴露令牌。
✓ 持久化与权限
该技能不请求 always:true 且仅限用户调用。它指示创建临时 JSON 文件(例如 `/tmp/jira-body.json` 或 `$env:TEMP` 文件)用于请求正文,这对于可靠的 CLI 请求是正常的。它不要求修改其他技能或全局代理配置。默认允许自主调用(disable-model-invocation=false) —— 这是平台正常行为,但如果凭据可供代理使用,则会增加影响。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/2/24
添加了简洁的 CLI 快速参考:`refs/cli-rest-quickref.md`。扩展了文档以明确要求每个 Jira 任务的真实 CLI HTTP 请求,而不仅仅是 API 端点的描述。提供了详细的规则和模板用于 Linux (`curl`) 和 Windows (`curl.exe` 或 PowerShell),包括头部/身份验证处理、临时文件使用和响应解析。澄清了在技能执行步骤中选择端点家族(平台 v3 vs 敏捷 API)。明确警告不要回显令牌、不安全地内联大有效负载或在没有真实 HTTP 请求的情况下发明数据。更新了命令摘要以提高清晰度和准确性。
● 无害
安装命令 点击复制
官方npx clawhub@latest install jira-rest-v3
镜像加速npx clawhub@latest install jira-rest-v3 --registry https://cn.clawhub-mirror.com
技能文档
(由于原始内容中未提供 SKILL.md 具体内容,此处无法直接翻译。以下为示例,如果您提供 SKILL.md 内容,我可以帮助翻译)
# Jira REST API v3 Commons
用途
通过 Jira Cloud REST API v3 执行日常任务...(请提供完整的 SKILL.md 内容以获取准确翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制