by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和指令与其所述目的(本地文件RAG)一致,它使用文件系统和AI模型进行交互,请求适当的配置,不请求无关的凭证或意外端点。
评估建议
此技能似乎确实做到了它声称的:本地文件RAG脚本,用于问答和文档分析。安装或运行之前:1) 确认您对授予文件系统访问权限感到满意——该工具可以读取本地文件。2) 仅将其用于您有权访问的文件,避免处理敏感文件,除非您完全信任设置。3) 技能不请求凭证,但注意不要向脚本传递敏感的文件路径,除非您信任整个工具链。4) 如果您想要更高的保证,请在运行前在本地审查包含的脚本。...详细分析 ▾
✓ 用途与能力
名称/描述(本地文件RAG)与代码和README匹配:该技能遍历工作空间,提取文本/元数据,分块文档/代码,将块索引到本地SQLite数据库并执行BM25检索。所需能力(文件I/O、本地数据库、可选文档解析器)与声明的目的一致。
ℹ 指令范围
SKILL.md和README描述了扫描本地工作空间和工具API。实现将递归读取许多支持的文件类型,提取和索引内容,并返回片段或完整的小文件。这对于RAG工具是预期的,但意味着该技能将读取项目文件(如果文件中存在敏感配置或机密,可能包含这些内容)。SKILL.md/README确实提到了自动依赖处理;运行时代码执行网络安装(见安装机制)。
⚠ 安装机制
没有明确的外部安装规范,但运行时代码通过child_process.execSync调用npm,使用网络访问自动将缺失的依赖项(mammoth、pdf-parse、xlsx)安装到技能目录中。这是中等供应链/网络活动风险:它在运行时下载包(尽管包是常见的),从技能内部运行shell命令,并将node_modules写入磁盘。存在package.json和package-lock,这有助于审查,但自动、静默的npm安装行为值得谨慎。
✓ 凭证需求
该技能不请求环境变量或外部凭证。它仅需要Node.js运行时和对所选工作空间的文件系统访问,这与其声明的功能成比例。
ℹ 持久化与权限
always为false,该技能不请求系统范围权限。它在workspaceDir/.storage下创建和写入本地SQLite数据库,并在自动安装依赖项时可能在技能目录下创建node_modules。这些都限定在技能/工作空间范围内,但在磁盘上是持久的;这对于本地索引器是预期行为,但用户应该知道这些磁盘上的产物。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/23
初始版本,支持本地文件RAG
● 可疑
安装命令 点击复制
官方npx clawhub@latest install local-file-rag-basic
镜像加速npx clawhub@latest install local-file-rag-basic --registry https://cn.clawhub-mirror.com
技能文档
# Skill: Local File RAG 搜索 (Basic Edition)
Description
This is the Basic Edition of the high-performance local RAG suite, providing efficient code and document retrieval within constraints.- Constraints:
- Support: JS/TS, Python, C++, Go, Markdown, PDF, DOCX, XLSX, etc.
Tools
local_file_rag_search
Efficiently searches the local workspace. Parameters:查询(字符串, 必填): 搜索 terms 或 函数 names.targetFile(字符串, 可选): Specific file path 到 restrict 搜索.rootDir(字符串, 可选): Root directory 到 scan.
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制