by 安全扫描
OpenClaw
可疑
high confidence该技能的指令合理描述了阿里云 DNS 操作,但包元数据未声明凭证需求,运行指令要求下载和安装二进制文件并存储访问密钥 — 这些不匹配和安装步骤值得谨慎对待。
评估建议
该技能的动作(安装 aliyun-cli、设置 AK/SK、运行 Alidns 命令)在 DNS 管理方面是合理的,但注册元数据未声明所需凭证是一个红旗。安装或运行前:1) 验证下载 URL(aliyuncli.alicdn.com)并优先使用官方安装文档或包管理器替代。2) 使用最小权限阿里云密钥,如果可能,创建一个专用短期密钥。3) 优先使用环境变量(ALICLOUD_ACCESS_KEY_ID/SECRET)提供凭证,而不是嵌入到持久配置中,并检查 ~/.local/bin 和 CLI 配置下的任何创建的文件。4) 请求发布者更新技能元数据以声明所需的环境变量/凭证。如果您不信任源,请不要运行 curl+install 步骤。...详细分析 ▾
⚠ 用途与能力
技能的名称/描述与通过 aliyun-cli 管理 Alidns 记录一致。然而,发布的元数据未声明任何所需环境变量或主凭证,而 SKILL.md 明确要求阿里云 Access Key ID/Secret(并建议使用 ALICLOUD_* 环境变量)。元数据的省略是一个不一致:DNS 管理技能合理地需要凭证并应声明它们。
⚠ 指令范围
运行时指令专注于安装 aliyun-cli、配置凭证和调用预期的 Alidns CLI 命令。它们似乎不请求无关文件或外部端点。然而,它们指示存储凭证(通过 'aliyun configure set' 或环境变量)并在用户的主目录下写入工件 (~/ .local/bin 和 output/aliyun-dns-cli),这些操作没有反映在声明的要求中 — 这个范围不匹配是一个问题。
ℹ 安装机制
安装使用 curl 从 aliyuncli.alicdn.com (阿里巴巴的 CDN) 获取存档并提取/移动到 ~/.local/bin。使用官方 CDN 对于 aliyun-cli 是预期的;提取和安装到用户的主目录对于用户级安装是正常的。然而,任何从 URL 安装的步骤会将可执行代码写入磁盘,在运行前应进行审查。
⚠ 凭证需求
该技能需要访问密钥 (AK/SK) 来运行,这与 DNS 管理成比例。问题是元数据未声明这些环境变量或主凭证,因此消费者可能不会意识到需要敏感凭证或这些凭证将由 CLI 持久化。SKILL.md 正确推荐最小权限凭证并建议使用环境变量,但元数据的省略是误导性的。
ℹ 持久化与权限
该技能仅为指令,不是始终启用。它指示代理/用户安装二进制文件到 ~/.local/bin 并运行 aliyun CLI 配置命令,这将创建本地凭证/配置文件。对于基于 CLI 的集成这是预期的,但确实会导致用户主目录中有持久的二进制文件和存储的凭证。
安装前注意事项
- 验证下载 URL (aliyuncli.alicdn.com) 并优先使用官方安装文档或包管理器替代。
- 使用最小权限阿里云密钥,如果可能,创建一个专用短期密钥。
- 优先使用环境变量 (ALICLOUD_ACCESS_KEY_ID/SECRET) 提供凭证,而不是嵌入到持久配置中,并检查 ~/.local/bin 和 CLI 配置下的任何创建的文件。
- 请求发布者更新技能元数据以声明所需的环境变量/凭证。如果您不信任源,请不要运行 curl+install 步骤。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/2
阿里云 DNS Cli 的初始发布。- 提供基于 CLI 的工具,用于通过 aliyun-cli 查询、添加和更新阿里云 DNS (Alidns) 记录。- 包括为函数计算 (FC) 自定义域名 CNAME 记录的简化设置指南。- 提供安装、凭证配置和命令使用文档。- 包含常见故障排除步骤和验证指令。- 强调安全的凭证管理和可复制的操作工作流。
● 无害
安装命令 点击复制
官方npx clawhub@latest install aliyun-dns-cli
镜像加速npx clawhub@latest install aliyun-dns-cli --registry https://cn.clawhub-mirror.com
技能文档
请参见下方翻译(保留原始 YAML frontmatter 不翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制