Aliyun Codeup

要点汇总和建议： - 证书声明不一致：技能确实需要 YUNXIAO_PERSONAL_TOKEN 来访问 Codeup，但技能的 registry 元数据并未列出它。安装前确认技能来源（维护者信息）或联系维护者修正元数据。 - 凭据暴露风险：示例和脚本使用形式 https://oauth2:{$TOKEN}@codeup.aliyun.com/...，在某些系统上该 URL 可出现在进程列表、shell 历史或被写入 .git/config（尽管脚本使用临时目录并会删除，但暴露窗口仍然存在）。建议改用： - Git 凭据助手（git credential helper）或使用 git 的授权代理，而不是将 token 放在 URL 中；或 - 使用 API (Private-Token 头) 并通过 stdin/环境变量传递，而不是在命令行参数中显式包含令牌。 - 最小权限：确保为令牌只授予必要的最小范围（SKILL.md 建议的 read_api 和 read_repository 是合理的）。如果不愿意提供仓库读取权限，请不要安装或使用该技能。 - 审核与测试：在受控环境（例如隔离的临时帐户或沙箱）中先行测试，观察是否有意外的网络请求或日志记录将令牌写出。检查你本地/远程系统（如 CI/CD、shell 历史）中是否可能保存了带 token 的 URL。 - 透明性改进请求：建议技能作者在 registry 元数据中明确列出 YUNXIAO_PERSONAL_TOKEN 作为必需 env var，并在 README/SKILL.md 中注明对 token 的处理方式以减少暴露面。 总体上，代码本身看起来在功能上与描述一致且没有明显的隐蔽后门，但由于元数据不透明与示例中存在的凭据暴露模式，建议在信任并投入真实凭据前小心评估和调整使用方式。