扫描报告
0 /100
CloudQ
腾讯云智能顾问管理工具,支持架构可视化、风险评估、AI 运维问答
CloudQ 腾讯云智能顾问工具,代码质量高、安全考虑周全,文档与代码完全一致,无任何恶意行为或未声明的敏感操作。
可以安装
该技能可安全使用。所有声明的 allowed-tools (Read, Write, Bash, Grep) 与实际能力一致,网络请求仅限腾讯云官方 API,IAM 写入操作需用户明确同意,无凭证外泄风险。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md:8 声明 fs:~/.tencent-cloudq/;代码仅访问此目录(check_env.py:62, login_url.py:162) |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:8 声明 network:*.tencentcloudapi.com, cloud.tencent.com, clawhub.ai;代码仅访问… |
| 命令执行 | WRITE | WRITE | ✓ 一致 | check_env.py:231 调用 clawhub CLI;tcloud_sse_api.py:325 调用 login_url.py;均为本地工具无远程脚… |
| 环境变量 | READ | READ | ✓ 一致 | 所有脚本仅读取 TENCENTCLOUD_* 环境变量获取凭证,无遍历或外传 |
| 技能调用 | NONE | NONE | — | 无跨技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
18 项发现
中危 外部 URL 外部 URL
https://*.tencentcloudapi.com SKILL.md:8 中危 外部 URL 外部 URL
https://cloud.tencent.com SKILL.md:8 中危 外部 URL 外部 URL
https://clawhub.ai SKILL.md:8 中危 外部 URL 外部 URL
https://cloud.tencent.com/developer/article/2645159) SKILL.md:29 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/cam/capi SKILL.md:67 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/cam/role SKILL.md:241 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/advisor?hideTopNav=true SKILL.md:385 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/ SKILL.md:492 中危 外部 URL 外部 URL
https://cloud.tencent.com/login/roleAccessCallback?algorithm=sha256&secretId=...&token=...&signature=...&s_url=... SKILL.md:516 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/advisor?hideTopNav=true&archId=arch-gvqocc25 SKILL.md:517 中危 外部 URL 外部 URL
https://clawhub.ai/api/v1/skills/ check_env.py:237 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/advisor check_env.py:614 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/advisor?archId=arch-gvqocc25 scripts/login_url.py:10 中危 外部 URL 外部 URL
https://cloud.tencent.com/login/roleAccessCallback? scripts/login_url.py:301 中危 外部 URL 外部 URL
https://console.cloud.tencent.com/cam/role/detail?roleName= scripts/setup_role.py:364 中危 外部 URL 外部 URL
https://cloud.tencent.com/document/product/213/30654 scripts/tcloud_api.py:4 中危 外部 URL 外部 URL
https://console\.cloud\.tencent\.com[^\s\ scripts/tcloud_sse_api.py:325 中危 外部 URL 外部 URL
https://console\.cloud\.tencent\.com/advisor/cloudq(\?|/|$ scripts/tcloud_sse_api.py:331 目录结构
11 文件 · 131.7 KB · 3743 行 Python 7f · 2986L
Markdown 3f · 751L
JSON 1f · 6L
├─
▾
references
│ └─
▾
api
│ ├─
CloudQChatCompletions.md
Markdown
│ └─
CreateAdvisorAuthorization.md
Markdown
├─
▾
scripts
│ ├─
cleanup.py
Python
│ ├─
create_role.py
Python
│ ├─
login_url.py
Python
│ ├─
setup_role.py
Python
│ ├─
tcloud_api.py
Python
│ └─
tcloud_sse_api.py
Python
├─
_meta.json
JSON
├─
check_env.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
certifi | 未声明版本 | pip | 否 | 仅用于 SSL 证书验证,无版本锁定但用途安全 |
安全亮点
✓ 文档与代码完全一致,无 shadow functionality
✓ 凭证处理安全:AK/SK 仅通过环境变量读取,无日志、无网络传输、无持久化存储
✓ SSL 验证完整:使用 certifi 库确保证书验证
✓ 文件权限保护:目录 700、文件 600
✓ IAM 写入操作需用户明确同意(cam:CreateRole, cam:AttachRolePolicy, cam:DeleteRole, advisor:CreateAdvisorAuthorization)
✓ 配置文件仅保存角色 ARN,不保存任何密钥
✓ 网络请求仅限腾讯云官方域名和 ClawHub 版本检查 API
✓ 使用纯 Python 标准库实现,无外部依赖(certifi 仅用于 SSL 证书)
✓ subprocess 调用仅限于本地已安装的 clawhub CLI,无远程脚本下载
✓ 敏感操作前有用户确认机制