by 安全扫描
OpenClaw
可疑
medium confidence该技能基本符合其既定用途(管理 DataWorks 标签),并提供了合理的操作指引,但注册元数据未提及需要阿里云凭证,且存在少量作用域/配置操作(CLI 自动插件启用、pip 安装)在安装来源不明时应予审查。
评估建议
安装前须知:
- 该技能需要有效的阿里云凭证(AK/SK、STS 或实例角色),但注册元数据未声明;需在聊天会话外通过常规 aliCloud 配置或环境变量提供凭证。切勿在对话中粘贴密钥。
- 请检查并确认 pip install 命令及包版本;如可能,在受控环境(virtualenv/容器)中安装。
- SKILL.md 建议启用 `aliyun configure set --auto-plugin-install true`——这会修改 Aliyun CLI 行为(自动下载插件)。仅在你信任 CLI 来源并了解其影响时启用。
- 遵循 references/ram-policies.md 的最小权限原则:创建仅含所列权限的 RAM 用户或角色;避免使用根凭证。
- 因技能来源未知,请先在非生产账号或最小权限 RAM 用户下测试,并手动验证行为(或检查代理生成的代码),再授予更广权限。
- 若注册元数据后续明确声明所需环境变量/主凭证,或提供权威来源/主页,则本评估可信度将提高。...详细分析 ▾
ℹ 用途与能力
SKILL.md 和参考文件始终描述 DataWorks Data Governance 标签操作,并展示了 Alibaba Cloud Python SDK 和 CLI 的使用——这些符合所述目的。然而,已发布的元数据未声明需要云凭证(该技能在运行时指令中明确要求 Alibaba Cloud 凭证)。
ℹ 指令范围
指令仅聚焦于 DataWorks 标签管理(create/update/list/tag/untag)。执行前须确认所有用户参数,禁止调用 DeleteDataAssetTag API。还需运行 'aliyun version' 与 'aliyun configure list',并执行 pip 安装。指令未要求任意文件读取或秘密外泄,但会修改 CLI 设置(见持久化),并假定主机上已存在凭据/配置。
ℹ 安装机制
注册表元数据中无正式安装规范(仅含指令)。SKILL.md 要求用户通过 pip3 install 安装多个 Alibaba SDK 包,并附官方 aliyuncli 下载链接。使用 pip 及官方 aliyuncli 下载属预期行为,但因该技能来源未知,用户在生产环境运行安装前,应自行核对包名/版本。
⚠ 凭证需求
该技能显然需要阿里云凭证,并建议使用环境/配置方式认证,但注册元数据中未列出任何必需的环境变量或主凭证。这种不一致降低了透明度:用户安装此技能时可能意识不到需要凭证。技能对凭证的需求本身与任务相符(DataWorks API 需要凭证),但元数据的遗漏是一个显著的连贯性问题。
ℹ 持久化与权限
该 skill 为纯指令型,不请求常驻或提升的平台权限。它建议运行 `aliyun configure set --auto-plugin-install true`,这会修改 CLI 配置,使 CLI 可自动安装插件;这是一项无害的便利设置,但用户应在应用前了解其配置变更。该 skill 未标记为 always:true,也不会修改其他 skill。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.1-beta.12026/4/21
alibabacloud-dataworks-data-governance 0.0.1-beta.1 - 阿里云 DataWorks 数据治理标签管理的首个 beta 版本。 - 支持创建、更新、列举和查询 tag key/value。 - 支持将标签绑定/解绑到数据资产,并通过灵活过滤器查询数据资产。 - 对所有用户可配置参数和凭证进行严格确认。 - 提供 CLI 版本、凭证及 RAM 权限的清晰预检。 - 明确禁止使用任何标签删除 API(`DeleteDataAssetTag`)。
● Pending
安装命令
点击复制官方npx clawhub@latest install alibabacloud-dataworks-data-governance
镜像加速npx clawhub@latest install alibabacloud-dataworks-data-governance --registry https://cn.longxiaskill.com