by 安全扫描
OpenClaw
可疑
medium confidence该技能的目的(电子云 DNS 管理)合理,但指令范围较窄,未声明或解释认证/凭据或如何进行 API 调用,这是一个重要的疏漏,导致包模糊且可能存在风险。
评估建议
该技能在 DNS 工作流上看似连贯,但遗漏了一个关键细节:如何对电子云进行认证。在安装或使用前,请要求作者:(1)指定确切的认证方法(所需的环境变量或服务账号),(2)展示代理将运行的示例 API 调用或 CLI 命令,(3)确认没有外部遥测端点。如果继续,提供仅限 DNS 操作的最小权限电子云 API 密钥(非全局管理员密钥),在非生产区测试,确保启用审计日志,并准备在行为异常时撤销密钥。如果技能预计使用平台托管凭据,请验证平台如何提供这些凭据以及它不会在其他地方请求更广泛的凭据。...详细分析 ▾
ℹ 用途与能力
名称、描述和指令都一致地描述了电子云的 DNS 记录管理(查询/更新/传播检查)。然而,通过云提供商管理 DNS 通常需要 API 凭据和明确的 API/CLI 调用细节;这些在清单和 SKILL.md 中都缺失。这种不匹配值得注意,但可能是疏漏而非恶意意图。
✓ 指令范围
SKILL.md 包含一个聚焦的清单(确认区域/记录,在修改前查询,应用带有 TTL 约束的更改,验证传播)和安全规则(避免盲重写,包括回滚值)。它不指示读取无关文件、窃取数据或联系未知端点。指令适当地限定在 DNS 操作范围内。
✓ 安装机制
这是一个仅有指令的技能,没有安装规格和代码文件。这样降低了攻击面:没有内容写入磁盘,也没有拉取第三方包。
⚠ 凭证需求
没有声明所需的环境变量、凭据或配置路径,但该技能的声明功能(调用电子云 DNS API)通常需要 API 密钥/秘密或配置的 CLI。任何声明的认证机制的缺失是不成比例的,使得不清楚该技能如何预计运行或凭据来自哪里。
✓ 持久化与权限
always 为 false,并且没有内容请求持久的系统级存在。该技能不声称修改其他技能或系统配置。允许自主调用(平台默认),但这本身并非红色标志。
安装前注意事项
- 指定确切的认证方法(所需的环境变量或服务账号)
- 展示代理将运行的示例 API 调用或 CLI 命令
- 确认没有外部遥测端点。如果继续,请提供仅限 DNS 操作的最小权限电子云 API 密钥(非全局管理员密钥),在非生产区测试,确保启用审计日志,并准备在行为异常时撤销密钥。如果技能预计使用平台托管凭据,请验证平台如何提供这些凭据以及它不会在其他地方请求更广泛的凭据。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/11
为电子云技能发布 ClawHub 的初始元数据。
● 无害
安装命令 点击复制
官方npx clawhub@latest install volcengine-network-dns
镜像加速npx clawhub@latest install volcengine-network-dns --registry https://cn.clawhub-mirror.com
技能文档
管理 DNS 记录,具有严格的变更范围和验证步骤。
执行清单
- 确认域区域、记录类型和目标值。
- 在修改前查询现有记录。
- 应用添加/更新/删除操作,带有 TTL 约束。
- 通过权威和递归检查验证传播。
安全规则
- 避免盲重写;与现有记录进行差异比较。
- 在输出中保留回滚值。
- 在迁移窗口前最小化 TTL。
参考
references/sources.md
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制