by 安全扫描
OpenClaw
安全
medium confidence技能指令与目的(自主 Ralph 循环对 OpenCode Zen 模型)一致,无意外凭证或安装步骤请求,但有少数细节需检查。
评估建议
技能如所述运行 Ralph CLI 循环。运行前:确保有 ralph、git 二进制文件(若需要,包括 opencode);确认 OpenCode/Zen 是否需要 API 密钥或本地认证;在特性分支或可丢弃克隆中运行;保持小迭代次数,审查差异/提交;验证模型标识符和 GitHub 主页。...详细分析 ▾
✓ 用途与能力
名称/描述描述了使用 OpenCode 模型运行自主 Ralph 编码循环;声明的必需二进制文件(ralph、git、opencode)大致匹配该用途。备注:SKILL.md 从未直接调用 opencode 二进制文件(它使用 --agent opencode 调用 ralph),因此可能不需要单独的 opencode 可执行文件,但这并不严重不一致。SKILL.md 包含主页 URL,而注册元数据显示没有 —— 轻微元数据不匹配。
ℹ 指令范围
指令范围狭窄,专注于运行 ralph CLI 以特定模型和回退,要求在 git 仓库内运行,并建议安全实践(迭代限制、审查差异)。它们不指示读取无关文件或环境变量。备注:技能假设代理/系统可以运行 ralph CLI,它将在本地执行代码更改 —— 用户应预期代码编辑/提交,并在合并前明确审查。
✓ 安装机制
仅指令,无安装规格或下载存档,降低了安装时风险。技能本身未指定外部包或可执行下载。
ℹ 凭证需求
技能未声明必需的环境变量或凭证,与 SKILL.md 一致。然而,在实践中,访问 OpenCode 模型可能需要 API 凭证或本地 opencode/ralph 配置(未在 SKILL.md 中记录)。技能不请求无关机密。
✓ 持久化与权限
always 为 false,disable-model-invocation 未设置(正常)。技能不请求持久系统权限或修改其他技能/配置。自主调用可以通过 ralph 修改仓库内容,这是此技能类型的预期行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/6
["发布 open-ralph 技能初版。","启用使用 OpenCode Zen 和 ralph CLI 的自主 Ralph 编码循环。","针对免费 OpenCode Zen 模型优化,基于可用性和错误实现自动回退。","支持多用例:修复测试、实现功能、重构、修复 lint/类型错误、构建修复循环。","包含清晰使用指令和示例命令。","要求在 git 仓库中运行。"]
● 无害
安装命令 点击复制
官方npx clawhub@latest install open-ralph
镜像加速npx clawhub@latest install open-ralph --registry https://cn.clawhub-mirror.com
技能文档
SKILL.md 中文翻译(由于原始内容较长,仅提供关键部分翻译,完整内容请参考原始文档)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制