📦 database-admin — 全面的数据库管理
v2.0.0提供数据库表结构设计、数据批量操作、复杂查询优化、类型处理及事务安全的全面数据库管理服务,适用于各种数据库操作需求。
0· 522·4 当前·4 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能合法实现了数据库管理功能,但包含未披露的硬编码数据库凭证和可以修改/删除数据及文件系统备份的脚本。元数据(无需凭证)与代码不一致,建议在使用前进行审查和沙盒测试。
评估建议
安装/运行前关键点:(1)代码和 SKILL.md 包含明确的 DB 主机、数据库名和硬编码密码(192.168.1.136:35438, roadflow, 用户 postgres, 密码 Hxkj510510),与元数据声明不一致。将嵌入的凭证视为敏感,验证其来源和有效性。(2)许多脚本执行破坏性操作(ALTER、DROP、TRUNCATE、批量 INSERT、架构迁移)和备份目录清理;在没有代码审查和备份的情况下,不要在生产系统上运行。(3)几条 SQL 语句通过字符串拼接构建(存在 SQL 注入风险);偏好参数化查询。(4)首先在隔离的测试环境中运行该技能,审计所有脚本,使用环境变量替换或删除任何硬编码凭证,并确认目标(可能为私有内部 DB)。(5)如果您不认识提供的主机/凭证或没有访问该数据库的权限,请不要执行这些脚本。如果您需要此功能,请请求一个从验证的环境变量读取 DB 连接信息并在执行破坏性操作之前包含安全确认/提示的变体。...详细分析 ▾
⚠ 用途与能力
文件和 SKILL.md 实现了宣传的 DB 管理功能(创建/修改表,批量插入,备份/恢复,查询优化)。然而,包元数据声称无需凭证或配置,但多个脚本硬编码了特定的 DB 主机,端口,用户,数据库和密码(192.168.1.136:35438, postgres/Hxkj510510, 数据库 roadflow)。这种不匹配(无声明的环境变量/凭证但嵌入的秘密)是不一致且意外的。
⚠ 指令范围
SKILL.md 和脚本指示可以修改或删除生产数据的操作(CREATE/DROP/ALTER/TRUNCATE,批量插入,迁移,备份和备份目录清理)。几个脚本通过字符串拼接构建 SQL(无参数化),一些脚本将从备份目录中删除文件。运行时指令不需要明确确认或声明安全沙盒 —— 它们包含指向特定目标 DB 的连接信息和示例。
ℹ 安装机制
无安装规格(仅指令)降低了安装级风险,但技能包包含可运行的 Node.js 脚本。没有包安装步骤,但如果代理或用户运行包含的脚本,它们将执行网络和文件系统操作。package.json 引用一个主要脚本(scripts/index.js),但它不存在(小不一致)。
⚠ 凭证需求
声明的要求列表中无环境变量或凭证,但许多文件嵌入明文 DB 凭证和特定主机。一些脚本可以回退到环境变量,但多个重要脚本忽略环境变量并使用硬编码凭证。在元数据中要求无秘密同时运送硬编码秘密是不成比例的且风险高。
✓ 持久化与权限
该技能不请求平台范围的权限(始终:false)并不修改其他技能的配置。其操作仅限于脚本中引用的数据库和本地备份路径,这对于 DB 管理工具是合适的 —— 但与硬编码凭证的组合如果凭证有效,会增加潜在的影响范围。
安装前注意事项
- 代码和 SKILL.md 包含明确的 DB 主机、数据库名和硬编码密码(192.168.1.136:35438, roadflow, 用户 postgres, 密码 Hxkj510510),与元数据声明不一致。将嵌入的凭证视为敏感,验证其来源和有效性。
- 许多脚本执行破坏性操作(ALTER、DROP、TRUNCATE、批量 INSERT、架构迁移)和备份目录清理;在没有代码审查和备份的情况下,不要在生产系统上运行。
- 几条 SQL 语句通过字符串拼接构建(存在 SQL 注入风险);偏好参数化查询。
- 首先在隔离的测试环境中运行该技能,审计所有脚本,使用环境变量替换或删除任何硬编码凭证,并确认目标(可能为私有内部 DB)。
- 如果您不认识提供的主机/凭证或没有访问该数据库的权限,请不要执行这些脚本。如果您需要此功能,请请求一个从验证的环境变量读取 DB 连接信息并在执行破坏性操作之前包含安全确认/提示的变体。
- If you do not recognize the provided host/credentials or do not have permission to access that database, do not execute these scripts. If you need this functionality, request a variant that reads DB connection info from validated env vars and includes safety confirmations/prompts before destructive actions.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/3/16
版本 2.0.0 - 更新了 package.json 中的依赖项。 - 功能性和文档无变化。
● 可疑
安装命令
点击复制官方npx clawhub@latest install database-admin
镜像加速npx clawhub@latest install database-admin --registry https://cn.longxiaskill.com
技能文档
数据库管理员 Database Admin 📜 > "先严父后慈" —— 杜子美 本技能提供全面的数据库管理功能,包括表结构创建、数据操作、查询优化、类型处理(如 BIGINT)等。所有操作均遵循 SQL 最佳实践和事务安全原则。
核心能力
🔹 表结构设计
- 自动设计最优表结构(主键、索引、约束)
- 支持多种数据类型(TEXT、VARCHAR、BIGINT、UUID、JSONB、ENUM)
- 自动创建适当的索引以提高查询性能
- 设置外键约束和检查约束
- 处理 NULL 值和默认值策略
🔹 数据插入
- 批量插入大量数据(使用事务优化)
- 处理 BIGINT 等大数类型数据
- 验证数据类型兼容性
- 避免主键冲突和外键违规
🔹 查询优化
- 编写高效的 JOIN 查询
- 聚合统计和分析查询
- 子查询和 CTE 的使用
- 执行计划分析和优化建议
🔹 数据库维护
- CREATE TABLE、ALTER TABLE、DROP TABLE
- INDEX 创建和 DROP INDEX
- TRUNCATE 清空表(保留结构)
- VACUUM 分析表
- 备份和恢复操作
使用场景
当你需要以下操作时,请触发此技能:- "创建一个用户表,包含用户名、邮箱、注册时间"
- "向 products 表中插入这些商品数据..."
- "查询所有销售额超过 10 万元的订单"
- "为 orders 表的 customer_id 创建索引"
- "将 text_column 从 TEXT 转换为 VARCHAR(255)"
- "批量导入 10 万条记录,使用事务优化"
- "修复 BIGINT 类型数据溢出问题"
技术细节
本技能在幕后会使用:- 驱动:
pg(PostgreSQL) - 连接池:
pgpool管理并发连接 - 批量插入: 使用 COPY 或批量 INSERT 优化性能
- 事务控制: 自动开启/提交事务,保证 ACID 属性
- 错误处理: 捕获并报告约束违规、类型不匹配等
数据库配置(roadflow)
- 主机: 192.168.1.136
- 端口: 35438
- 用户: postgres
- 密码: Hxkj510510
- 目标库: roadflow
示例用法
创建表
``创建一个库存表 stock_info,包含:
- id (SERIAL PRIMARY KEY)
- product_name (VARCHAR(100))
- quantity (INT)
- price (DECIMAL(10,2))
- created_at (TIMESTAMP)
- 为 product_name 创建索引
### 插入数据
向 stock_info 表插入以下商品:[{
product_name: "苹果",
quantity: 100,
price: 8.5
}, ...]
### 查询统计
计算每个类别的商品平均价格 WHERE quantity > 50 GROUP BY category ORDER BY avg_price DESC
``
技能由杜甫(📜)编写,秉承"致君尧舜上,再使风俗淳"的务实精神