智能会话分析
AdvisoryAudited by Static analysis on Apr 30, 2026.
Overview
No suspicious patterns detected.
Findings (0)
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
如果该密钥被误用或泄露,攻击者可能获得比本技能所需更广的阿里云 CCAI 服务操作能力。
排障建议使用 ContactCenterAI 的通配权限,而该技能的核心用途主要是提交和查询分析任务;这不是最小权限。
如使用 RAM 子账号,联系主账号管理员授权 `ContactCenterAI:*` 权限
使用专用 RAM 子账号,并只授予创建/查询 CCAI 分析任务所需的最小权限;同时在元数据中明确声明所需凭证和环境变量。
如果服务端长期返回排队状态,代理可能持续创建后台查询任务,造成资源消耗、通知噪音或额外 API 调用。
异步模式会在任务仍排队时继续安排新的 cron 查询,但文档未设置最大重试次数、总时长或用户取消机制。
`QUEUE` → 再安排一个 15 秒后的查询
为异步轮询设置最大重试次数/总超时,提供取消方式,并在每次重新安排前保持清晰的用户可见性。
客服通话、文本对话或录音 URL 可能包含个人信息,并会被发送到阿里云服务处理和保留。
技能明确会处理可能含隐私的对话数据,并说明任务数据会在服务端保存 90 天;这与分析目的相关,但用户需要知情。
数据合规 — 对话内容可能含有用户隐私,确保符合数据处理规范 ... 任务数据在服务端保存 90 天
仅提交有处理授权的数据;提交前脱敏不必要的个人信息,并确认阿里云侧的数据保留、合规和删除要求。
用户较难独立核验打包脚本的来源和构建过程。
技能依赖一个较大的本地打包脚本,但注册信息没有源码来源或主页;静态扫描为 clean,且脚本用途与技能相符,因此作为供应链可审计性提示。
Source: unknown; Homepage: none ... Code file presence: scripts/bundle.cjs (1328190 bytes)
发布者应提供源码仓库、构建说明和依赖锁定信息;用户安装前应确认发布者可信。