by 安全扫描
OpenClaw
安全
high confidence该技能的代码、文档和运行时指令与Ambari REST API客户端一致;它像集群管理工具一样运行,但将凭证存储在本地明文配置中,并默认禁用SSL验证,这些都是在使用前需要缓解的安全风险。
评估建议
该技能看起来是一个合法的 Ambari REST API 客户端,但在生产环境使用前需解决两个实际安全问题:
(1) 凭据以明文保存在 ~/.claude/skills/ambari-api/config.json 中——请限制文件权限(如 chmod 600),考虑改用 secret manager 而非保存密码,并在不再需要时删除已存凭据。
(2) 客户端默认关闭 SSL 证书校验(verify_ssl 默认为 False,且代码传入 verify=False),使 HTTPS 易受 MITM;请在代码中启用证书校验(将默认值改为 True 或添加 CLI 开关),或确保仅通过安全网络与可信 Ambari 端点通信并使用正确 CA 捆绑包。
另:运行前请审查脚本,在受控环境执行 pip install,并确认配置文件路径符合你的安全策略。...详细分析 ▾
✓ 用途与能力
名称/描述与实现一致:Python 客户端和 CLI 通过 Ambari REST 端点执行 Ambari 集群、服务、主机和组件操作。所需凭据(配置中的用户名/密码)与所述目的保持一致。
ℹ 指令范围
SKILL.md 和 CLI 仅指示代理安装依赖并调用内置脚本对接 Ambari 端点。它们要求将集群 URL、用户名和密码保存在本地配置文件(~/.claude/skills/ambari-api/config.json)中。README/文档及代码还显示默认禁用 SSL 验证——这扩大了攻击面(中间人攻击),但已在文档中明确说明。
✓ 安装机制
注册表中没有 package-install 安装说明;SKILL.md 告诉用户用 pip 安装本地的 requirements.txt(requests、urllib3)。依赖项是典型的 HTTP 客户端依赖;技能本身不会从不受信任的 URL 下载任何内容。
ℹ 凭证需求
该 skill 不请求环境变量或外部凭据,而是要求用户提供 Ambari 用户名/密码,并以明文形式持久化到本地配置文件中。功能上等价,但实践中不安全。未请求无关凭据或服务。
✓ 持久化与权限
该 skill 仅写入自身配置路径(~/.claude/skills/ambari-api/config.json),不请求 always:true 或其他高级代理权限。它会按预期对 Ambari 主机进行网络调用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/22
发布了ambari-api技能,用于通过Ambari REST API管理Hadoop集群。 - 管理Hadoop服务(启动、停止、重启)和组件在集群或主机级别。 - 监控服务和集群状态,列出服务、主机和组件。 - 存储和管理多个Ambari集群配置。 - 支持Ambari版本2.7.5和3.0.0。 - 包括快速入门指南和常见操作的命令示例。
● 无害
安装命令
点击复制官方npx clawhub@latest install lukaizj-ambari-api
镜像加速npx clawhub@latest install lukaizj-ambari-api --registry https://cn.longxiaskill.com 镜像可用
本土化适配说明
Ambari 安装说明: 安装命令:npx clawhub@latest install lukaizj-ambari-api
技能文档
通过 Ambari REST API 管理 Hadoop 集群(支持 Ambari 2.7.5 和 3.0.0)。
快速开始
# 安装依赖
pip install -r ~/.claude/skills/ambari-api/scripts/requirements.txt
# 添加集群配置
python ~/.claude/skills/ambari-api/scripts/ambari_api.py config --add \
--name prod \
--url https://ambari.example.com:8080 \
--username admin \
--password admin
# 列出集群
python ~/.claude/skills/ambari-api/scripts/ambari_api.py clusters --config prod
核心操作
服务管理
# 列出集群中的服务
python ambari_api.py services --config prod --cluster mycluster
# 启动/停止/重启服务
python ambari_api.py services --config prod --cluster mycluster --service HDFS --action START
python ambari_api.py services --config prod --cluster mycluster --service YARN --action STOP
python ambari_api.py services --config prod --cluster mycluster --service HIVE --action RESTART
组件管理(主机特定)
# 列出主机上的组件
python ambari_api.py components --config prod --cluster mycluster --host node01
# 启动/停止主机上的特定组件
python ambari_api.py components --config prod --cluster mycluster --host node01 \
--service HDFS --component DATANODE --action START
python ambari_api.py components --config prod --cluster mycluster --host node01 \
--service HDFS --component DATANODE --action STOP
主机和状态操作
# 列出所有主机
python ambari_api.py hosts --config prod --cluster mycluster
# 获取服务状态
python ambari_api.py status --config prod --cluster mycluster --service HDFS
配置管理
# 列出已配置的集群
python ambari_api.py config --list
# 删除集群配置
python ambari_api.py config --remove --name prod
API 参考
| 命令 | 描述 | |---------|-------------| |config --add | 添加集群配置,包括 URL、用户名和密码 |
| config --list | 列出所有保存的配置 |
| clusters | 列出 Ambari 中的集群 |
| services | 列出服务或执行 START/STOP/RESTART |
| hosts | 列出集群中的主机 |
| components | 列出或管理特定主机上的组件 |
| status | 获取详细的服务状态 |