安全扫描
OpenClaw
安全
high confidence该技能在内部一致于其声明的目标,即将代理从响应式转为主动式,通过启用自动、重复工作和外部集成(Discord/Slack/cron)。您应该仔细配置和监控这些集成。
评估建议
该技能似乎做了它声称的:通过读取本地任务文件、运行周期性的'心跳'工作流、向团队频道发布进度并安排 cron 作业来使代理主动化。安装前,请:1) 决定代理是否自动运行任务和频率——频繁的心跳可能会消耗令牌并在没有立即人工审查的情况下执行操作。2) 在受控位置验证和提供外部凭证(Discord/Slack令牌、openclaw cron 权限),限制代理可以发布的内容。3) 在隔离或低权限代理/会话中测试(使用 README 中建议的'隔离'会话)。4) 添加速率限制、令牌预算安全保障和明确的人工覆盖机制,以便在执行高影响力操作之前停止或报告。5) 审核添加的 cron 作业并查看代理写入内存/任务文件以避免意外泄露机密。如果需要更多保证,请向作者请求明确的运行时凭证列表和样本配置,显示凭证存储位置和如何强制执行人工审批。...详细分析 ▾
✓ 用途与能力
名称、描述和运行时指令一致:该技能是一个自主性套件,指示代理读取任务队列、运行心跳、向团队频道发布更新并安排 cron 作业。其元数据中不请求无关的二进制文件或凭证。
ℹ 指令范围
SKILL.md 指示代理读写本地文件(tasks/QUEUE.md, memory/*)、向团队频道(Discord/Slack)发布更新并通过 openclaw CLI 创建计划的 cron 作业。这些操作在声明的目的范围内,但涉及向外部频道发送数据和创建自动计划运行——该技能没有详细说明如何对这些外部频道进行身份验证或哪些数据安全可发送。
✓ 安装机制
仅指令的技能,无安装规范和捆绑代码——安装风险低。技能本身没有下载或写入任何内容。
ℹ 凭证需求
该技能声明没有必需的环境变量,但其工作流预计需要集成(Discord/Slack 频道 ID 和平台的 cron 能力),这将需要凭证或代理配置。声明的环境要求的缺失不一定是恶意的,但在启用自动发布或调度之前,您应该确认代理运行时需要哪些凭证。
ℹ 持久化与权限
该技能不强制永久包含(always: false)。然而,指令明确推荐创建 cron 作业和频繁的心跳,允许代理在没有人工提示的情况下运行——如果配置错误,这会增加影响范围。这种行为与技能的目的一致,但值得有操作控制(限制、监控、人工覆盖)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/24
● 无害
安装命令 点击复制
官方npx clawhub@latest install agent-autonomy-kit-automaton
镜像加速npx clawhub@latest install agent-autonomy-kit-automaton --registry https://cn.clawhub-mirror.com
技能文档
将您的代理从响应式转为主动式。
💰 付费服务
Automaton 架构咨询 & 定制:| 服务 | 价格 | 交付 |
|---|---|---|
| Automaton 架构搭建 | ¥3000/次 | 完整配置 + 培训 |
| 自定义心跳模式 | ¥2000/次 | 根据您的需求定制 |
| Cron 任务矩阵设计 | ¥1500/次 | 自动化任务规划 |
| 月度技术顾问 | ¥5000/月 | 每周优化 + 问题解答 |
快速开始
- 创建
tasks/QUEUE.md,包含待处理/进行中/阻塞/完成部分 - 更新
HEARTBEAT.md以从队列中拉取并执行工作 - 设置 cron 作业用于晚间工作和每日报告
- 观察工作在无提示的情况下执行
关键概念
- 任务队列 — 始终保持工作准备就绪
- 主动心跳 — 执行工作,不仅仅是检查
- 连续操作 — 直到达到限制才停止
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制