proxmox

核心用法

Proxmox Skill 是一款面向 Proxmox VE 虚拟化平台的运维管理工具，通过 Python 脚本与 Proxmox API 交互，实现对集群节点、虚拟机及容器的全面管控。该技能提供四大核心功能模块：资源枚举（proxmox_list）可列出所有节点或跨集群的 VM/容器清单；节点健康监控（proxmox_node_health）获取物理机的 CPU、内存、运行时长等硬件级指标；实时状态查询（proxmox_status）针对特定资源返回运行状态；电源管理（proxmox_power_action）支持启动、停止、重启、关机等操作。所有操作通过环境变量配置的 API Token 进行认证，电源类操作默认启用人工审批机制。

显著优点

该技能采用官方维护的 proxmoxer 库作为底层通信层，API 兼容性和稳定性有保障。认证机制设计合理，使用 API Token 替代传统密码，支持 Proxmox 的细粒度权限模型（RBAC），管理员可为不同场景创建最小权限的 Token。环境变量隔离敏感信息，避免凭证硬编码带来的泄露风险。SKILL.md 中明确为破坏性操作配置 Approval: true，与 OpenClaw 框架的审批流程集成，形成双重保护。功能边界清晰，仅覆盖查询和电源管理，不涉及存储、网络配置修改等高风险领域，符合最小权限原则。

潜在缺点与局限性

代码层面存在明显的安全隐患：第 39 行强制禁用 SSL 证书验证（verify_ssl=False），在不受信任的网络环境中可能遭受中间人攻击。该技能未提供只读模式开关，一旦 Token 具备写权限，所有电源操作均可执行，缺乏运行时的权限降级能力。日志审计功能缺失，操作记录无法追溯。此外，技能仅支持单集群管理，未实现多集群联邦视图，大规模基础设施场景下需要多次配置。错误处理机制较为简单，API 异常时仅返回原始错误信息，对终端用户不够友好。

适合的目标群体

主要面向三类用户：一是中小企业 IT 运维人员，需要快速查看虚拟化资源状态并执行紧急电源操作；二是 DevOps 工程师，希望将 Proxmox 管理集成到自动化工作流中；三是 homelab 爱好者，拥有自建 Proxmox 集群且需要便捷的命令行/对话式管理入口。该技能不适合需要复杂生命周期管理（如模板部署、快照策略、备份调度）的企业级场景，也不建议用于对合规审计要求严格的金融、医疗行业生产环境。

使用风险

服务中断风险：电源管理操作（尤其是 stop 强制断电）可能导致运行中业务中断，虽有审批机制，但审批者误判或社会工程学攻击仍可能引发事故。网络安全风险：SSL 验证禁用使通信暴露于中间人攻击，建议仅在受控内网使用。凭证泄露风险：环境变量虽优于硬编码，但若主机被入侵，Token 仍可能被提取。依赖风险：proxmoxer 和 requests 均为社区维护，需关注安全更新。性能风险：大规模集群（数百 VM）的列表查询可能响应较慢，未实现分页或缓存机制。