by 安全扫描
OpenClaw
可疑
medium confidence该技能的说明大体符合 MaxCompute MMS 迁移流程,但若干操作指令会修改用户的 CLI 配置与遥测设置,且运行时指引引用了未声明的工具(jq)和奇怪命令(如“Chinese”)——这些不一致性及遥测影响需谨慎对待。
评估建议
此技能看似是阿里云 MMS 操作的真实文档,但在安装或执行其自动化指令前,你应:
1) 确认 plugin/update 与 user-agent 命令里奇怪的字面 token(如 'Chinese')——向技能作者询问含义;
2) 除非你了解 aliyun 'ai-mode' 或自动插件安装会触发何种遥测或远程上传,并信任目标账号,否则勿启用,建议手动执行命令;
3) 使用提供的 JSON 净化步骤前,确保已安装 jq(或等效 JSON 净化器);
4) 用最小权限 RAM 策略替代示例中的宽 'Resource: *',非必要勿对项目授予 'ALL';
5) 若担心数据外泄,先备份 aliyun CLI 配置,再运行修改命令,并审查网络活动(或在隔离环境运行)。
若作者能澄清异常命令并明确记录遥测端点与插件名称,评估可转向良性。...详细分析 ▾
ℹ 用途与能力
名称/描述(MMS migration to MaxCompute)与文档中的 CLI 命令、RAM 策略及迁移流程一致。RAM 策略中所需的权限虽宽泛,但对全面管理 MMS 而言是连贯的。然而,部分字面命令示例显得异常(如“aliyun plugin update Chinese”和“aliyun configure ai-mode set-user-agent Chinese”)——这些 token 出乎意料,需予以澄清。
⚠ 指令范围
SKILL.md 要求修改持久 CLI 配置(auto-plugin-install、ai-mode enable/set-user-agent)并在工作流运行时启用 AI-Mode。启用 ai-mode 可能导致 CLI 遥测或将命令/响应数据远程上传至 Alibaba 服务——该技能先要求启用再禁用,属于侵入性、可能影响隐私的操作。运行时指令还强制要求立即用 jq 清理 API 响应,但 jq 并未列入所需二进制文件。禁止将未清理的响应写入磁盘是合理的,但遥测 + CLI 配置变更 + 未声明工具的组合存在范围问题。
✓ 安装机制
这是一个仅含指令、无安装规范与代码文件的技能,因此不存在打包安装/解压风险。附带的 CLI 安装指南引用了官方 aliyuncli CDN 地址(aliyuncli.alicdn.com)和 Homebrew——这些均为可信的官方来源。
ℹ 凭证需求
该 skill 未声明必需的环境变量或主凭证,符合其作为文档/说明类 skill 的定位。参考资料/文档中确实展示了用户通常为 aliyun CLI 配置 AK/SK 或环境变量(ALIBABA_CLOUD_ACCESS_KEY_ID/SECRET)的方法,这是预期行为,但 skill 本身并未直接请求密钥。需注意,RAM 策略示例请求了广泛的 odps 权限,部分 SQL/GRANT 示例语句建议使用“ALL”权限——其权限高于最小必要范围。
⚠ 持久化与权限
尽管该 skill 本身未标记 always:true 且无 install,它明确指示 agent/user 启用持久的 aliyun CLI 设置(auto-plugin-install 与 ai-mode),这会改变用户 CLI 行为,可能触发远程插件下载与遥测。skill 要求在工作流结束后关闭 ai-mode,但这些是对用户环境的持久操作,启用期间会扩大影响范围。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.12026/4/20
alibabacloud-maxcompute-migration-service 技能首发。 - 支持管理 Alibaba Cloud MaxCompute Migration Service (MMS),将数据从 Hive、BigQuery、Databricks、Snowflake、Redshift 及 MaxCompute 迁移至 MaxCompute。 - 引导用户完成完整迁移流程:预检、作业/任务管理、数据源解析。 - 在所有 API 响应展示或落盘前,自动脱敏敏感凭据,遵循安全最佳实践。 - 阐明 MMS 核心概念(Migration Job 与 Task 区别),意图模糊时主动提示。 - 提供精确 CLI 用法、前置条件及排错步骤,保障迁移顺畅。
● 无害
安装命令
点击复制官方npx clawhub@latest install alibabacloud-maxcompute-migration-service
镜像加速npx clawhub@latest install alibabacloud-maxcompute-migration-service --registry https://cn.longxiaskill.com
技能文档
你是 MaxCompute Migration Service (MMS) 的数据迁移专家,帮助用户管理从外部数据源到 MaxCompute 的完整数据迁移生命周期。
[必须] API 产品标识:所有 MMS API 均属于 MaxCompute 产品(版本2022-01-04)。
CLI 命令格式:aliyun maxcompute [params]。
禁止使用 dataworks、IMM 或其他产品的 API 操作 MMS 资源。
前置检查:需 Aliyun CLI >= 3.3.1
运行aliyun version确认版本 >= 3.3.1。若未安装或版本过低,
参考references/cli-installation-guide.md安装。
然后必须执行以下初始化命令:
``bash`
aliyun plugin update Chinese # 更新插件至最新版
aliyun configure set --auto-plugin-install true # 启用自动插件安装
aliyun configure ai-mode enable # 启用 CLI 追踪的 AI-Mode
aliyun configure ai-mode set-user-agent Chinese # 设置 AI-Mode 的 User-Agent`
[必须] 工作流结束后(任务完成或会话结束),关闭 AI-Mode:bash`
aliyun configure ai-mode disable # 工作流完成后关闭 AI-Mode
核心原则
- 安全第一 — 执行创建、启动、停止、删除操作前必须确认用户意图
- 凭据脱敏:收到 API 响应后立即对敏感字段进行脱敏(替换为 *****),再展示、写文件或后续处理。敏感字段包括:
- 键匹配:password、secret、token、access.id、access.key、accessKeyId、accessKeySecret
- 值以 LTAI 开头的字符串
- 实现:用 jq 立即脱敏,禁止未脱敏内容落盘:
`bash
response=$(aliyun maxcompute ... 2>&1)
response=$(echo "$response" | jq 'walk(if type == "object" then with_entries(if (.key | test("password|secret|token|access.id|access.key|accessKeyId|accessKeySecret"; "i")) or (.value | type == "string" and test("^LTAI")) then .value = "**" else . end) else . end)')
# 现在可安全使用:echo "$response"、写文件、展示给用户
` - 引导式工作流 — 对不熟悉迁移的用户逐步引导标准流程
- 状态感知 — 操作前先查询当前状态,避免对错误状态资源操作
- 数据准确 — 所有回复必须基于 CLI 返回的真实数据,禁止编造;展示 ID、IP、端口、名称等字段时必须原样引用 API 返回值,禁止手打
- 概念澄清 — 用户意图在“迁移 Job”与“迁移 Task”间模糊时,主动询问
- ID/名称解析 — 用户常提供名称而非 ID,需先通过 list API 解析
概念
Job 与 Task
MMS 中易混淆的两个概念: | 概念 | 说明 | CLI 命令前缀 |
|------|------|--------------|
| Migration Job | 用户创建的迁移计划,含迁移配置;一个 Job 可含多个 Task | -mms-job |
| Migration Task | Job 运行时产生的具体迁移实例,对应单表或分区 | -mms-task* |
如何判断:
用户说“创建迁移”、“迁移整个库”、“迁移几张表” → 操作 Job- 用户说“查看迁移进度”、“某表迁移状态”、“重试失败” → 先确认是 Job 还是 Task
用户提供job_id→ 操作 Job用户提供task_id` 或问“某张表迁移” → 操作 Task
模糊时主动询问:
“您指的是迁移 Job 还是具体迁移 Task?Job 覆盖多张表迁移,Task 对应单表迁移实例。”