Scan Report
0 /100
CloudQ
腾讯云智能顾问管理工具,支持架构可视化、风险评估、AI 运维问答
CloudQ 腾讯云智能顾问工具,代码质量高、安全考虑周全,文档与代码完全一致,无任何恶意行为或未声明的敏感操作。
Safe to install
该技能可安全使用。所有声明的 allowed-tools (Read, Write, Bash, Grep) 与实际能力一致,网络请求仅限腾讯云官方 API,IAM 写入操作需用户明确同意,无凭证外泄风险。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:8 声明 fs:~/.tencent-cloudq/;代码仅访问此目录(check_env.py:62, login_url.py:162) |
| Network | READ | READ | ✓ Aligned | SKILL.md:8 声明 network:*.tencentcloudapi.com, cloud.tencent.com, clawhub.ai;代码仅访问… |
| Shell | WRITE | WRITE | ✓ Aligned | check_env.py:231 调用 clawhub CLI;tcloud_sse_api.py:325 调用 login_url.py;均为本地工具无远程脚… |
| Environment | READ | READ | ✓ Aligned | 所有脚本仅读取 TENCENTCLOUD_* 环境变量获取凭证,无遍历或外传 |
| Skill Invoke | NONE | NONE | — | 无跨技能调用 |
| Clipboard | NONE | NONE | — | 无剪贴板操作 |
| Browser | NONE | NONE | — | 无浏览器操作 |
| Database | NONE | NONE | — | 无数据库操作 |
18 findings
Medium External URL 外部 URL
https://*.tencentcloudapi.com SKILL.md:8 Medium External URL 外部 URL
https://cloud.tencent.com SKILL.md:8 Medium External URL 外部 URL
https://clawhub.ai SKILL.md:8 Medium External URL 外部 URL
https://cloud.tencent.com/developer/article/2645159) SKILL.md:29 Medium External URL 外部 URL
https://console.cloud.tencent.com/cam/capi SKILL.md:67 Medium External URL 外部 URL
https://console.cloud.tencent.com/cam/role SKILL.md:241 Medium External URL 外部 URL
https://console.cloud.tencent.com/advisor?hideTopNav=true SKILL.md:385 Medium External URL 外部 URL
https://console.cloud.tencent.com/ SKILL.md:492 Medium External URL 外部 URL
https://cloud.tencent.com/login/roleAccessCallback?algorithm=sha256&secretId=...&token=...&signature=...&s_url=... SKILL.md:516 Medium External URL 外部 URL
https://console.cloud.tencent.com/advisor?hideTopNav=true&archId=arch-gvqocc25 SKILL.md:517 Medium External URL 外部 URL
https://clawhub.ai/api/v1/skills/ check_env.py:237 Medium External URL 外部 URL
https://console.cloud.tencent.com/advisor check_env.py:614 Medium External URL 外部 URL
https://console.cloud.tencent.com/advisor?archId=arch-gvqocc25 scripts/login_url.py:10 Medium External URL 外部 URL
https://cloud.tencent.com/login/roleAccessCallback? scripts/login_url.py:301 Medium External URL 外部 URL
https://console.cloud.tencent.com/cam/role/detail?roleName= scripts/setup_role.py:364 Medium External URL 外部 URL
https://cloud.tencent.com/document/product/213/30654 scripts/tcloud_api.py:4 Medium External URL 外部 URL
https://console\.cloud\.tencent\.com[^\s\ scripts/tcloud_sse_api.py:325 Medium External URL 外部 URL
https://console\.cloud\.tencent\.com/advisor/cloudq(\?|/|$ scripts/tcloud_sse_api.py:331 File Tree
11 files · 131.7 KB · 3743 lines Python 7f · 2986L
Markdown 3f · 751L
JSON 1f · 6L
├─
▾
references
│ └─
▾
api
│ ├─
CloudQChatCompletions.md
Markdown
│ └─
CreateAdvisorAuthorization.md
Markdown
├─
▾
scripts
│ ├─
cleanup.py
Python
│ ├─
create_role.py
Python
│ ├─
login_url.py
Python
│ ├─
setup_role.py
Python
│ ├─
tcloud_api.py
Python
│ └─
tcloud_sse_api.py
Python
├─
_meta.json
JSON
├─
check_env.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
certifi | 未声明版本 | pip | No | 仅用于 SSL 证书验证,无版本锁定但用途安全 |
Security Positives
✓ 文档与代码完全一致,无 shadow functionality
✓ 凭证处理安全:AK/SK 仅通过环境变量读取,无日志、无网络传输、无持久化存储
✓ SSL 验证完整:使用 certifi 库确保证书验证
✓ 文件权限保护:目录 700、文件 600
✓ IAM 写入操作需用户明确同意(cam:CreateRole, cam:AttachRolePolicy, cam:DeleteRole, advisor:CreateAdvisorAuthorization)
✓ 配置文件仅保存角色 ARN,不保存任何密钥
✓ 网络请求仅限腾讯云官方域名和 ClawHub 版本检查 API
✓ 使用纯 Python 标准库实现,无外部依赖(certifi 仅用于 SSL 证书)
✓ subprocess 调用仅限于本地已安装的 clawhub CLI,无远程脚本下载
✓ 敏感操作前有用户确认机制