by 安全扫描
OpenClaw
可疑
medium confidence技能基本符合 Jira 自动化目的,但包含硬编码 Jira 凭据和特定文件路径,需谨慎使用。
评估建议
["警告:包含硬编码 Jira API_TOKEN 和 EMAIL,可能暴露账户信息。","脚本执行文件系统扫描、Git 命令和仓库测试命令,仅在信任环境中使用。","确认预期行为:脚本可以无人干预转换/更新问题,确保运行时提示实际存在。","立即旋转或删除暴露的凭据,更新仓库映射以避免敏感路径。","考虑请求发布者提供更安全的版本(无嵌入秘密、相对仓库路径、可配置工作空间、交互式批准检查)。"]...详细分析 ▾
ℹ 用途与能力
技能名/描述、必需环境变量(JIRA_API_TOKEN、JIRA_EMAIL)和脚本主要针对 Jira 和本地仓库自动化,一致性良好。但包中嵌入了 Jira API_TOKEN 和 EMAIL 在 references/jira.md 和多个脚本的默认值,违反了通过环境变量提供凭据的声明。
⚠ 指令范围
SKILL.md 和脚本指示代理读取本地源文件、扫描用户工作空间、运行 Git 命令和执行仓库测试命令。这些操作与端到端开发流一致,但允许文件系统枚举和通过 subprocess.run 在用户仓库中执行任意命令。工作流声称在推送/转换之前等待用户批准,但脚本可以使用提供的凭据进行状态转换和更新。
✓ 安装机制
仅指令(无安装程序)。脚本依赖典型系统工具(python、git、npm、pytest)和 jira Python 包。安装规格中无外部下载或存档提取。
⚠ 凭证需求
声明的环境变量适合 Jira 集成。但仓库中包含 references/jira.md 中的明文 JIRA_API_TOKEN 和 JIRA_EMAIL,许多脚本提供该令牌作为默认回退。将可用 API 令牌嵌入发货文件是不当和危险的 — 可能无意中暴露或重用其他帐户的凭据。
✓ 持久化与权限
always 为 false,技能可由用户调用,也可能被自动调用(平台默认)。技能不请求系统范围的配置更改或永久代理权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/25
Jira 任务管理器技能 v1.0.0 - 自动化 Jira 操作(创建、更新、评论、转换、列出问题),支持端到端任务工作流,包括仓库同步和问题元数据集成。解决 React/Zustand 状态持久性 bug,要求 JIRA_API_TOKEN 和 JIRA_EMAIL。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install jira-task-manager
镜像加速npx clawhub@latest install jira-task-manager --registry https://cn.clawhub-mirror.com
技能文档
该技能自动化 Jira 常见操作。...
重要注意:所有 Jira API 交互将使用 references/jira.md 中存储的凭据。确保 JIRA_API_TOKEN 保密。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制