by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码与文档实现了真实的越狱生成/检测器,并需要多个LLM API凭据,但注册元数据未列出这些凭据,且部分安装/运行行为与声明的包元数据不完全一致。
评估建议
此包实现了研究级越狱生成与检测器,并将调用外部LLM API。安装前:1) 注意技能需要API密钥(optimizer/target/judge/translator),即使注册元数据未列出——请检查config.json和SKILL.md。2) 仅在隔离测试环境或沙盒中运行setup与攻击脚本,优先使用dry-run模式,避免向在线模型发送有害查询。3) 勿使用生产/高权限API密钥;创建受限/测试账户或使用模拟端点进行测试。4) 自行检查上游仓库(https://github.com/xunhuang123/CC-BOS)及所含脚本;setup脚本会克隆该仓库并pip安装依赖。5) 若仅使用防御/检测功能,使用--no-llm(或禁用LLM调用)以避免提供API密钥。6) 若注册本应声明所需环境变量,请要求发布者在授予技能凭据访问权限前更正元数据。...详细分析 ▾
⚠ 用途与能力
技能声明的用途(越狱优化、检测与分析)与所含代码(attack.py、defend.py、research.py)一致。然而注册元数据未声明任何所需环境变量或凭据,而SKILL.md与config.json明确需要多个API密钥(optimizer、target、judge、translator,如DEEPSEEK_API_KEY与OPENAI_API_KEY)。该不匹配应在信任技能前解决。
ℹ 指令范围
SKILL.md与脚本明确指示代理:克隆上游仓库,运行优化循环生成对抗性古汉语提示并调用optimizer/target/judge LLM,还可选地翻译/分析结果。这些操作保持在所述研究/红队范围内,但攻击模式确实会向远程LLM API创建并发送有害查询(符合声明用途)。防御模式可选执行基于LLM的意图分析(也需凭据)。指令不会读取无关的机密或系统文件,但会在用户工作区内读写并调用外部API。
ℹ 安装机制
注册表中无正式安装规范,但scripts/setup.py会将上游仓库git克隆到用户工作区(.upstream/CC-BOS)并通过环境的`uv`命令pip安装依赖(openai、anthropic、pandas、numpy、tqdm)。源为GitHub而非未知主机,但setup会写入磁盘并安装Python包——属于中等风险操作,应在隔离环境中检查并运行。
⚠ 凭证需求
工具包合理需要多个LLM API凭据(optimizer、target、judge、translator)及config.json与SKILL.md中的base URL。这些与技能功能成比例。问题在于:注册元数据未列出所需环境变量,造成声明与实际需求之间的缺口。此外,多个凭据若被复用会扩大爆炸半径;技能接受通过环境变量或CLI传入的API密钥,用户必须避免暴露高权限密钥。
✓ 持久化与权限
技能未请求always:true,不修改其他技能配置,也不要求提升系统权限。它会将代码克隆到代理工作区并在其中写入结果,这对基于仓库的研究技能属正常行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/26
首次发布 — 实现arXiv:2602.22983(ICLR 2026)的CC-BOS技能。攻击模式(FOA优化),防御模式(95%检测置信度),研究模式。90/90测试通过。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install cc-bos
镜像加速npx clawhub@latest install cc-bos --registry https://cn.clawhub-mirror.com
技能文档
SKILL.md 中文翻译内容(需提供原始 SKILL.md 文件内容才能翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制