by 安全扫描
OpenClaw
安全
high confidence该技能的要求和运行指令与Jira集成一致,使用Jira CLI或Atlassian MCP(若可用),仅在必要时记录Jira相关环境变量用于REST回退。
评估建议
该技能内部一致,适合Jira工作流。启用前:(1)仅在信任技能且需要REST回退时提供JIRA_API_TOKEN/JIRA_USER/JIRA_BASE_URL;(2)确认代理显示将运行的确切命令并明确批准写入/批量操作;(3)询问代理访问的“研究上下文”;(4)限制仅允许修改Jira项目的代理/用户。...详细分析 ▾
✓ 用途与能力
名称/描述与SKILL.md和README中的行为匹配,通过本地Jira CLI或Atlassian MCP实现查看、创建、更新和转换Jira问题。JIRA_*环境变量仅用于文档中的REST/curl回退,未请求额外凭据、二进制文件或无关能力。
ℹ 指令范围
SKILL.md 指示代理检测后端(运行`which jira`或查找MCP工具),在修改前获取问题状态。还引用了读取用户提供的文件(例如,/tmp模板)和用于引用代码/PR的“研究上下文”。这些操作对于Jira助手是合理的,但“研究上下文”有些开放——确保代理仅访问预期资源,并在做出更改前显示命令/结果(该技能强调此安全行为)。
✓ 安装机制
无安装规范和代码文件——仅指令。这样最小化安装时风险(技能本身未下载或写入任何内容)。README指向官方项目页面用于可选工具(GitHub,Homebrew)。
✓ 凭证需求
仅提及环境变量JIRA_BASE_URL、JIRA_USER和JIRA_API_TOKEN,且为可选(仅用于REST/curl回退)。未请求无关机密或多服务凭据。
✓ 持久化与权限
该技能未标记always:true,未请求持久的系统范围修改。它记录了修改前的安全步骤(显示命令、请求批准)。无证据表明它修改其他技能或全局代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.3.32026/1/6
扫描器增强:使Jira环境变量可选(仅REST回退)以与多后端CLI/MCP设计对齐
● 可疑
安装命令
点击复制官方npx clawhub@latest install jira
镜像加速npx clawhub@latest install jira --registry https://cn.longxiaskill.com
技能文档
自然语言与Jira交互,支持多后端。 ...(注意:由于字符限制,完整的SKILL.md 中文翻译未包含在此,请根据原文自行翻译)