aliyun-cdn-skill

VERDICT: SUSPICIOUS. 整体目的与能力基本一致，安装来源也与阿里云/PyPI 生态相符，未见恶意中转或明显窃密逻辑，因此不像恶意技能。但其前置检查要求直接读取并输出 .env 中的 AK/SK，凭证处理不当；同时提供多项高影响 CDN 写操作，若由代理自动执行会带来显著操作风险。属于以官方 SDK 为基础的高权限基础设施管理技能，主要问题是敏感凭证明文暴露和高影响自动化，而非确认恶意。