by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令明确要求 Jira 凭据,并建议安装 npm 包,但注册表元数据未声明任何必需的凭据或安装机制,这种不一致需要谨慎处理。
评估建议
["1) 凭据:SKILL.md 指示创建包含 JIRA_HOST、JIRA_USER_EMAIL 和 JIRA_API_TOKEN 的 .env 文件,但注册表元数据未列出任何必需的凭据。请提供仅具有最小必需范围的令牌,优先使用应用程序特定或有限范围的 API 令牌,并安全存储它们(不要在共享机器上留存明文 .env)。","2) 安装源:指令告诉您运行 `npm install -g jira-ai`。由于注册表未声明安装机制,因此在运行 npm install 之前,请验证包和维护者:检查 npm 包页面和 GitHub 存储库(提交历史、问题、维护者身份),并优先在沙盒环境或容器中安装。如果计划允许自动化代理调用此技能,请谨慎:具有令牌访问权限的代理可以执行令牌允许的任何 API 操作。"]...详细分析 ▾
ℹ 用途与能力
名称和描述(Jira & Confluence CLI)与 SKILL.md 中描述的操作(问题/项目/用户/Confluence 命令)匹配。该功能合理地需要 Jira 主机、用户电子邮件和 API 令牌,但这些凭据未在技能元数据中声明,这是一种不一致。
ℹ 指令范围
SKILL.md 指示使用 `npm install -g jira-ai` 安装工具,并创建/使用包含 JIRA_HOST、JIRA_USER_EMAIL 和 JIRA_API_TOKEN 的 .env 文件(然后运行 `jira-ai auth --from-file`)。这些指令在工具的声明目的范围内,但明确要求代理(或用户)提供敏感凭据并运行安装/运行第三方代码的命令。
⚠ 安装机制
该技能在注册表中没有安装规格,但指令建议安装一个全局作用域的 npm 包。这意味着该技能预计从公共 npm 生态系统获取软件(此处未验证源)。注册表应声明安装或至少声明外部依赖;缺失会增加风险,因为包的来源/内容未由平台元数据验证。
⚠ 凭证需求
SKILL.md 需要敏感环境值(JIRA_HOST、JIRA_USER_EMAIL 和 JIRA_API_TOKEN),但声明的要求列表中没有 env 变量/凭据。该技能需要秘密来运行,因此注册表元数据不完整;此不匹配很重要,因为用户可能没有意识到该技能需要并将访问凭据。
✓ 持久化与权限
always 为 false,并且没有由技能本身编写的安装 hook 或代码;它仅为指令。允许自动调用(平台默认)——这很正常,但与凭据要求结合使用时,会提高操作风险(参见用户指南)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/31
jira-ai 的初始发布:一款强大的 Atlassian Jira 和 Confluence CLI 工具。- 提供对问题、项目、用户和 Confluence 页面的全面命令行管理。- 包括通过 .env 文件和命令的灵活身份验证设置。- 支持使用 YAML 文件进行详细配置,包括对命令和项目的访问控制。- 添加批量操作、智能过滤(JQL)和 API 使用最小化功能。- 通过基于环境的凭据和可自定义的访问控制增强安全性。
● 可疑
安装命令
点击复制官方npx clawhub@latest install jiraandconfluence
镜像加速npx clawhub@latest install jiraandconfluence --registry https://cn.longxiaskill.com
技能文档
jira-ai 技能提供了对 Atlassian Jira 和 Confluence 平台的全面命令行访问,允许代理高效管理问题、项目、用户和文档。
安装
要安装 jira-ai,请运行:
npm install -g jira-ai
身份验证设置
在使用 jira-ai 之前,您需要配置 Jira 凭据:
- 创建一个包含以下值的
.env文件:
JIRA_HOST=your-domain.atlassian.net
JIRA_USER_EMAIL=your-email@example.com
JIRA_API_TOKEN=your-api-token
- 使用
.env文件进行身份验证:
jira-ai auth --from-file path/to/.env
... (以下内容与原文相同,未翻译以节省空间)