by 安全扫描
OpenClaw
可疑
medium confidence该技能声称是一个基于 CLI 的 'skill-assessment' 工具,但只提供了文档(没有代码、二进制文件或安装说明),因此其声称的能力与实际提供的内容不匹配。
评估建议
该包本质上是一个描述名为 `skill-assess` 的 CLI 工具的文档,但不包含任何代码或安装说明,也没有提供源代码或主页链接——应将其视为 wrapper/README,而非可用的工具。在安装或依赖它之前:(1) 向发布者询问 `skill-assess` 二进制文件的来源,并从可信来源(主页或仓库)获取;(2) 避免运行从未经验证的位置下载的未知二进制文件;(3) 如果你期望此技能安装该工具,请向作者请求安装规范或源代码;(4) 由于它不请求任何 secrets 且不包含安装步骤,风险较低,但在验证外部 CLI 的来源之前,其可用性有限。...详细分析 ▾
⚠ 用途与能力
SKILL.md 描述了一个 CLI 工具(如 `skill-assess ...` 等命令)并将技能定位为评估工具,但该包不包含任何代码、安装规范、二进制文件,也没有主页或源代码链接。目前尚不清楚所描述的工具是否应由环境预装或在其他地方提供——这种不匹配降低了信任度和可用性。
✓ 指令范围
运行时指令范围狭窄:描述针对本地技能目录运行本地评估工具并生成报告。不会指示读取无关的系统文件、访问外部端点或窃取 secrets。
ℹ 安装机制
没有安装规范(仅限指令)。这降低了直接风险,因为技能本身不会向磁盘写入任何内容,但也意味着该技能无法正常工作,除非存在外部的 `skill-assess` 二进制文件。缺少源代码/主页或关于如何获取该二进制文件的指导是一个可用性和来源问题。
✓ 凭证需求
该技能不请求任何环境变量、凭据或配置路径。不需要 secrets 符合其描述的本地评估用途。
✓ 持久化与权限
该技能不请求永久存在(always:false),也没有安装操作或配置更改。它不请求提升的权限或修改其他技能的配置文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.2.02026/3/30
- 扩展了 SKILL.md 中的描述和细节,以提供更清晰的使用指导。 - 添加了概述评估类别、用例、命令和评分维度的部分。 - 改进了文档以帮助用户比较、审查和准备技能发布。
● 无害
安装命令 点击复制
官方npx clawhub@latest install assessment
镜像加速npx clawhub@latest install assessment --registry https://cn.clawhub-mirror.com
技能文档
一个用于评估 OpenClaw 技能质量的轻量级静态分析工具。
检查内容
- 文档完整性
- 代码质量和安全信号
- 配置友好性
- 维护和版本控制信号
典型用例
- 安装前比较相似技能
- 发布前评估技能
- 批量审查本地技能以发现弱点
- 生成报告以便后续改进
典型命令
skill-assess ~/.openclaw/skills/skill-creator
skill-assess .
skill-assess --all
skill-assess ~/.openclaw/skills/skill-creator --format json
skill-assess ~/.openclaw/skills/skill-creator --problems-only
skill-assess --compare skill-creator skill-audit
评分维度
- 文档完整性
- 代码质量
- 配置友好性
- 维护活动
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制