by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与其声明的目的相符(每日更新),但自动应用更新到代理和所有安装的技能而无完整性检查或明确用户批准,引发了显著的安全风险。同时观察到一个小的元数据不一致。
评估建议
该技能如其所述(安排和运行每日更新),仅包含指令,但会自动应用更新到 Clawdbot 和每个安装的技能而无完整性检查或交互式批准。安装前,请考虑:启用 dry-run 模式、优先手动或分阶段更新第三方技能、确保 Cron 作业以最小特权用户运行、验证 ClawdHub/registry 声誉、审查助手脚本路径和日志文件位置。...详细分析 ▾
✓ 用途与能力
名称/描述与运行时指令一致:SKILL.md 和参考文献描述添加一个 cron 作业,运行 clawdbot/clawdhub 更新命令并报告摘要。引用的命令和路径(clawdbot、clawdhub、~/.clawdbot 脚本/日志)与自动更新目的一致。
⚠ 指令范围
指令指示代理运行全局包管理器更新和 'clawdhub update --all' 以自动应用新版本,并在 ~/.clawdbot 下写入/运行助手脚本。没有更新完整性验证步骤(无校验和/签名)或在应用更新前要求交互式批准。从注册表自动安装未受监督的代码可能引入恶意更新,如果注册表或包被破坏。脚本发出更新摘要,代理解析它 — 这是预期的,但技能不限制摘要可能包含的内容(一些更新输出可能包含敏感信息)。
✓ 安装机制
这是一个仅包含指令的技能,没有安装规范,也没有代码文件会被技能本身获取/安装。这样可以最小化从技能包本身的安装风险。
ℹ 凭证需求
技能不请求环境变量或外部凭证,这是合理的。然而,它依赖于系统包管理器,并将运行可能需要高权限的命令(全局 npm/pnpm/bun 更新、文件系统写入到 ~/.clawdbot),因此用户必须确保执行帐户具有适当的、有限的权限。
ℹ 持久化与权限
技能通过 'clawdbot cron add' 添加一个 cron 作业,以持久化安排执行 — 这与其函数一致。它没有标记为 always:true。然而,授予自动定期更新能力是一个高影响权限,因为它允许对代理和其技能进行未来未受监督的代码更改;将其与自动应用行为结合,爆炸半径会增加。
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSmacOS · Linux
版本
latestv1.0.02026/1/28
Auto-Updater 技能初始发布。- 每日通过 cron 自动检查和应用更新到 Clawdbot 和所有安装的技能。- 发送更新摘要,详述更新的组件和新版本。- 提供快速设置指令和手动 cron 配置选项。- 包含故障排除步骤和管理更新及 cron 作业的命令。
● 无害
安装命令 点击复制
官方npx clawhub@latest install auto-updater-bak-2026-01-28t18-01-13-10-30
镜像加速npx clawhub@latest install auto-updater-bak-2026-01-28t18-01-13-10-30 --registry https://cn.clawhub-mirror.com
技能文档
通过自动更新保持 Clawdbot 和技能最新。
功能
该技能设置每日 cron 作业,执行以下任务:- 更新 Clawdbot 本身(通过
clawdbot doctor或包管理器) - 更新所有安装的技能(通过
clawdhub update --all) - 向您发送更新摘要
设置
快速开始
请求 Clawdbot 设置自动更新器: ``Set up daily auto-updates for yourself and all your skills.或手动添加 cron 作业:
bash
clawdbot cron add \
--name "Daily Auto-Update" \
--cron "0 4 *" \
--tz "America/Los_Angeles" \
--session isolated \
--wake now \
--deliver \
--message "Run daily auto-updates: check for Clawdbot updates and update all skills. Report what was updated."
配置选项
选项 默认值 描述 时间 4:00 AM 通过 --cron 改变运行时间 时区 系统默认 通过 --tz 设置 交付 主会话 更新摘要的交付位置
更新工作原理
Clawdbot 更新
对于 npm/pnpm/bun 安装:
bash
npm update -g clawdbot@latest # 或:pnpm update -g clawdbot@latest # 或:bun update -g clawdbot@latest
对于 源安装(git 检出):
bash
clawdbot update
更新后始终运行 clawdbot doctor 以应用迁移。技能更新
bash
clawdhub update --all
此命令检查所有安装的技能与注册表,并更新任何有新版本可用的技能。更新摘要格式
更新完成后,您将收到类似以下的消息:
🔄 每日自动更新完成
Clawdbot:更新到 v2026.1.10(之前为 v2026.1.9)
更新的技能(3):
- prd:2.0.3 → 2.0.4
- browser:1.2.0 → 1.2.1
- nano-banana-pro:3.1.0 → 3.1.2
当前技能(5):gemini, sag, things-mac, himalaya, peekaboo
未遇到问题。
手动命令
检查更新而不应用:
bash
clawdhub update --all --dry-run
查看当前技能版本:
bash
clawdhub list
检查 Clawdbot 版本:
bash
clawdbot --version
故障排除
更新未运行
- 验证 cron 是否启用:检查配置中的
cron.enabled。
确认网关正在连续运行。
检查 cron 作业是否存在: clawdbot cron list更新失败
如果更新失败,摘要将包括错误。常见修复方法:
- 权限错误:确保网关用户可以写入技能目录。
- 网络错误:检查互联网连接。
- 包冲突:运行
以诊断。禁用自动更新
删除 cron 作业:
bash
clawdbot cron remove "Daily Auto-Update"
或在配置中临时禁用:
json
{
"cron": {
"enabled": false
}
}
``资源
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制