by 安全扫描
OpenClaw
可疑
medium confidence这个技能看起来是一个合法的阿里云资源中心助手,但声明的元数据缺少必需的工具和凭证,且运行时说明假设可以访问阿里云凭证和 aliyun CLI——这种不一致性值得警惕。
评估建议
这个技能与其声明的目的(运行阿里云资源中心 CLI 调用)是一致的,但包元数据遗漏了关键要求。在安装或使用之前:1) 确保已安装 aliyun CLI >= 3.3.1 并理解该技能会调用它(包含的 Python 脚本会调用 CLI)。2) 理解必须通过本地 CLI 配置或环境变量提供阿里云凭证(AK/SK、STS token、RAM role 或 ECS role);不要在对话中粘贴密钥。3) 只使用最小权限的 RAM 用户或只读策略,除非确实需要服务启用/禁用权限——跨账号搜索需要管理账号权限。4) 注意该技能要求在 CLI 配置中启用自动插件安装,这会改变本地行为。5) 如需更高保障,请要求发布者更新注册表元数据以声明所需的二进制文件和凭证,或先在隔离环境(临时账号或沙箱)中运行命令。...详细分析 ▾
⚠ 用途与能力
这个技能的目的是运行阿里云资源中心 CLI 操作,但注册表元数据没有列出所需的二进制文件、主要凭证或所需的环境变量或配置路径。实际上 SKILL.md 需要 'aliyun' CLI(>=3.3.1)和阿里云凭证/配置文件(存储在 ~/.aliyun/config.json 或通过环境变量)。元数据的遗漏是一种不一致:资源中心技能合理地需要 CLI 和凭证。
✓ 指令范围
SKILL.md 指令保持主题相关:它们指导代理使用 aliyun resourcecenter 命令,要求参数获得用户明确确认,并禁止在对话中打印或请求 AK/SK。该技能包含一个调用 aliyun CLI 的小辅助脚本。没有读取无关系统秘密或向外部端点泄露数据的指令。唯一的范围问题是强烈要求运行 `aliyun configure set --auto-plugin-install true` 并让用户在会话之外配置凭证——两者都是合理的,但应该在元数据中明确说明。
✓ 安装机制
没有提供安装规范(仅限指令),因此平台不会写入磁盘。包含的 README 参考了官方阿里云下载 URL(aliyuncli.alicdn.com)以进行手动安装,这对于此目的是预期的。技能包本身没有嵌入高风险的下载/安装步骤。
⚠ 凭证需求
该技能需要阿里云凭证,并且根据其 RAM 策略文档,跨账号搜索可能需要高范围的 RAM 权限。然而,声明的必需环境变量和主要凭证在注册表元数据中为空。这种不匹配可能会误导用户安装该技能,而没有意识到它需要敏感凭证或管理账号权限。该技能的文档正确地警告不要回显 AK/SK 并在对话之外配置凭证,但包应该明确声明凭证要求。
ℹ 持久化与权限
该技能不请求 'always: true',也没有安装时持久化。它确实指示用户运行 `aliyun configure set --auto-plugin-install true`,这会修改用户的 CLI 配置(自动插件安装)。这个副作用对功能来说是合理的,但应该突出显示——它改变了本地 CLI 行为,可能会在以后添加插件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.12026/4/7
阿里云资源中心搜索技能首次发布。提供阿里云全局资源清单、跨区域/跨账号搜索和统计功能。支持用户确认所有资源查询参数后才执行。指导所需的 CLI 版本和凭证设置以确保安全使用。概述了单账号和多账号场景的 RAM 权限和资源可见性原则。包含针对启用、资源搜索、清单、统计和标签发现的场景化说明。在整个工作流程中强制执行严格的安全和参数处理最佳实践。
● 无害
安装命令
点击复制官方npx clawhub@latest install alibabacloud-resourcecenter-search
镜像加速npx clawhub@latest install alibabacloud-resourcecenter-search --registry https://cn.longxiaskill.com 镜像可用
本土化适配说明
Alibabacloud Resourcecenter Search — 阿里云资源中心搜索 安装说明: 安装命令:npx clawhub@latest install alibabacloud-resourcecenter-search 该技能用于淘宝相关操作,可能需要相应的平台账号或API密钥
技能文档
1. 前置条件
预检查:需要 Aliyun CLI >= 3.3.1
运行aliyun version验证版本 >= 3.3.1。如果未安装或版本太低,
请参阅references/cli-installation-guide.md获取安装说明。
然后 [必须] 运行aliyun configure set --auto-plugin-install true以启用自动插件安装。
预检查:需要阿里云凭证>
安全规则:>
- 禁止 读取、回显或打印 AK/SK 值(例如>echo $ALIBABA_CLOUD_ACCESS_KEY_ID是禁止的)
- 禁止 要求用户在对话或命令行中直接输入 AK/SK
- 禁止 使用带字面凭证值的aliyun configure set
- 仅 使用aliyun configure list检查凭证状态
>> aliyun configure list
检查输出中是否有有效的配置文件(AK、STS 或 OAuth 身份)。>
如果没有有效的配置文件,请在此处停止。>
1. 从阿里云控制台获取凭证
2. 在此会话之外配置凭证(通过终端中的aliyun configure或 shell 配置文件中的环境变量)
3. 返回并在aliyun configure list显示有效配置文件后重新运行
2. 参数确认
重要:参数确认 — 在执行任何命令或 API 调用之前,
所有用户可自定义的参数(例如 RegionId、实例名称、CIDR 块、
密码、域名、资源规格等)必须与用户确认。不要未经用户明确同意就假设并使用默认值。
| 参数 | 必填/可选 | 描述 | 默认值 |
|---|---|---|---|
Scope | 必填(跨账号) | 跨账号搜索范围:资源目录 ID、根文件夹 ID、文件夹 ID 或成员 ID | 无 |
ResourceType | 可选 | 资源类型(例如 ACS::ECS::Instance) | 无(所有类型) |
RegionId | 可选 | 资源 Region ID(例如 cn-hangzhou) | 无(所有区域) |
ResourceId | 可选 | 资源 ID | 无 |
ResourceName | 可选 | 资源名称 | 无 |
VpcId | 可选 | VPC ID(例如 vpc-xxx) | 无 |
VSwitchId | 可选 | VSwitch(例如 vsw-xxx) | 无 |
IpAddress | 可选 | IP 地址 | 无 |
GroupByKey | 可选 | 统计分组维度:ResourceType、RegionId、ResourceGroupId | 无 |
MaxResults | 可选 | 分页 API 的页面大小。 | 20 |
3. RAM 策略
完整的权限列表请参阅 references/ram-policies.md。推荐的系统策略:
- 只读:
AliyunResourceCenterReadOnlyAccess - 完全访问:
AliyunResourceCenterFullAccess
开启资源中心将自动创建服务关联角色 AliyunServiceRoleForResourceMetaCenter。资源可见性范围
RAM 策略(在 ram-policies.md 中定义)控制用户是否可以调用资源中心 API。然而,对于搜索 API(SearchResources、GetResourceCounts、GetResourceConfiguration、SearchMultiAccountResources、GetMultiAccountResourceCounts、GetMultiAccountResourceConfiguration),结果中可见的资源范围由各云产品自身的权限决定:
单账号
- 云资源读取权限:RAM 用户只能看到其在相应云产品上具有只读访问权限的资源中心资源。例如,授予
ReadOnlyAccess让用户看到其有权访问的所有资源;仅授予AliyunVPCReadOnlyAccess则将可见性限制为 VPC 资源。 - 资源组范围的权限:如果资源按资源组组织,您可以授予 RAM 用户针对特定资源组的只读访问权限。用户只能看到该组内的资源,从而实现资源隔离。
跨账号
- 将系统策略
AliyunResourceCenterFullAccess授予资源目录管理账号的 RAM 用户,以启用跨账号资源搜索。
4. 核心工作流程
步骤 1:根据用户需求确定 API
根据用户的具体场景确定需要哪些 API。请参阅下面的场景卡片。
步骤 2:[必须] 在每次 CLI 调用前阅读 API 文档
关键警告:在首先阅读>references/related-apis.md中的确切参数格式之前,不要执行任何aliyun resourcecenter命令。
失败模式:猜测参数(如 --filter 格式)会导致错误。正确的 JSON 结构必须从文档中复制。
>
强制操作:在构建任何 CLI 命令之前,打开并阅读 references/related-apis.md 中的特定 API 部分。
场景卡片
场景 1:服务启用
| 需求 | 账号类型 | API | 描述 |
|---|---|---|---|
| 检查是否启用 | 单账号 | get-resource-center-service-status | 返回服务状态 |
| 启用服务 | 单账号 | enable-resource-center | 首次使用所需 |
| 检查跨账号状态 | 资源目录 | get-multi-account-resource-center-service-status | 多账号场景 |
| 启用跨账号服务 | 资源目录 | enable-multi-account-resource-center | 需要管理账号或委派管理员 |
场景 2:资源类型发现
| 需求 | 账号类型 | 脚本 | 描述 |
|---|---|---|---|
| 通过关键词查找资源类型代码 | 单账号 | scripts/query-resource-types.py | 在 ResourceType、ProductName 和 ResourceTypeName 字段中搜索 |
- 当需要按资源类型过滤但不知道确切代码时 -> 首先使用此脚本
- 发现正确的
ResourceType代码后 -> 在搜索或计数 API 中使用--filter参数
场景 3:资源搜索
| 需求 | 账号范围 | API | 关键参数 |
|---|---|---|---|
| 按条件搜索资源 | 当前账号 | search-resources | --filter |
| 跨账号资源搜索 | 资源目录 | search-multi-account-resources | --scope + --filter |
| 搜索包含已删除的资源 | 当前账号 | search-resources | --include-deleted-resources=true |
场景 4:查看资源详情
| 需求 | 账号范围 | API | 用例 |
|---|---|---|---|
| 获取单个资源配置 | 当前账号 | get-resource-configuration | 获取完整配置详情 |
| 批量获取多个资源配置 | 当前账号 | batch-get-resource-configurations | 一次获取多个资源 |
| 从另一个账号获取资源配置 | 资源目录 | get-multi-account-resource-configuration | 跨账号查看 |
场景 5:统计和分析
| 需求 | 账号范围 | API | 分组维度 |
|---|---|---|---|
| 统计资源数量 | 当前账号 | get-resource-counts | ResourceType、RegionId、ResourceGroupId |
| 跨账号统计 | 资源目录 | get-multi-account-resource-counts | ResourceType、RegionId、ResourceGroupId |
场景 6:标签发现
| 需求 | 账号范围 | API | 描述 |
|---|---|---|---|
| 列出所有标签键 | 当前账号 | list-tag-keys | 浏览标签目录 |
| 列出特定标签键的值 | 当前账号 | list-tag-values | 例如,列出 env 的所有值 |
| 跨账号标签键 | 资源目录 | list-multi-account-tag-keys | 多账号场景 |
| 跨账号标签值 | 资源目录 | list-multi-account-tag-values | 多账号场景 |
5. 成功验证
每个工作流程步骤的详细验证步骤和命令请参阅 references/verification-method.md。
6. 注意事项
[必须] 高风险操作确认 — 在执行>disable-resource-center或disable-multi-account-resource-center之前:
1. 必须明确告知用户影响:
- 禁用影响
- 禁用资源中心后,资源数据将不再在资源中心中可见。具体来说:
- 对于单个阿里云账号,禁用资源中心后,当前账号中的资源数据将不再可见。
- 对于资源目录的管理账号和资源中心的委派管理员账号,禁用资源中心也将禁用跨账号资源搜索功能。资源目录中当前账号和成员的资源数据将不再可见。此外,成员将无法查看其自己账号中的资源数据。
- 禁用资源中心后,控制台首页的资源管理模块、配置审计服务等相关场景也将无法查看资源数据。
- 禁用限制
- 如果资源目录的管理账号或资源中心的委派管理员账号的跨账号资源功能由另一个账号启用,则无法禁用资源中心。
- 如果有云产品或功能强烈依赖资源中心(如配置审计和相关资源转移),必须先禁用这些云产品或功能,然后才能禁用资源中心。
2. 必须获得用户明确确认(例如,用户输入 "confirm disable" 或类似的明确确认)
3. 未经用户明确确认不要继续
禁用资源中心
警告: 禁用将删除所有资源数据并影响依赖服务(如配置审计)。如果启用了跨账号,必须先禁用跨账号。
aliyun resourcecenter disable-resource-center \
--user-agent AlibabaCloud-Agent-Skills
禁用跨账号资源中心
必须在禁用单账号资源中心之前完成(如果启用了跨账号)。需要管理账号或委派管理员。
aliyun resourcecenter disable-multi-account-resource-center \
--user-agent AlibabaCloud-Agent-Skills
7. 最佳实践
- 每个资源中心 CLI 调用都使用
--user-agent— 此技能中的所有aliyun resourcecenter示例都包含--user-agent AlibabaCloud-Agent-Skills。执行此技能的命令时,始终传递相同的标志,以便用法与验证、维护者的期望和任何自动检查保持一致。 - 使用过滤器进行定向搜索 — 结合
ResourceType、RegionId和Tag过滤器可以提高搜索效率 - 使用
GroupByKey进行快速统计 — 按类型、区域或资源组获取资源分布,无需迭代 - 跨账号范围选择 — 使用最具体的范围(成员 ID > 文件夹 ID > 根文件夹 ID > 目录 ID)来缩小搜索结果
- 启用后等待 — 资源中心激活后需要几分钟来构建数据;大型账号可能需要更长时间
- 优先使用只读策略 — 对于日常搜索和统计操作,使用
AliyunResourceCenterReadOnlyAccess以确保安全 - 资源类型发现 — 当不知道确切的资源类型代码时,使用第 8 节中记录的辅助脚本(从技能根目录运行)。
- 标签发现与标签过滤搜索的区别 — 对于"存在哪些标签键/值",使用
list-tag-keys/list-tag-values(以及使用--scope的多账号变体)。将search-resources保留用于查找匹配标签条件的资源。
8. 可用脚本
| 脚本 | 用途 | 用法 |
|---|---|---|
scripts/query-resource-types.py | 从阿里云资源中心按关键词查询资源类型;stdout 是 JSON(resourceTypes、count、keyword、language;失败使用 success: false 和 error) | python3 scripts/query-resource-types.py [--language LANGUAGE] |
9. 故障排除
当资源中心 API 调用或 aliyun resourcecenter 命令失败时,请阅读响应的 HTTP 状态、Code(错误代码)和 Message,然后将它们与目录进行匹配。
完整错误列表: references/error-codes.md
10. 参考链接
| 参考 | 描述 |
|---|---|
| references/related-apis.md | 所有 CLI 命令列表 |
| references/ram-policies.md | RAM 权限策略 |
| references/verification-method.md | 每个工作流程的验证步骤 |
| references/error-codes.md | 去重的资源中心 API 错误代码目录(HTTP、Code、Message)和查找提示 |
| references/cli-installation-guide.md | Aliyun CLI 安装指南 |
| references/acceptance-criteria.md | 仅供维护者/CI 使用:技能测试验收标准、正确的 CLI 命令模式、参数验证规则。注意:本文档供人工维护者和自动化测试使用,不是最终用户的必读内容。 |