Upgrade Openclaw — Upgrade OpenClaw — 升级 OpenClaw 并发现新功能
v2.0.0升级 OpenClaw,全面发现新功能、配置选项、hooks 和改进。使用场景:用户输入 "升级 OpenClaw" 或 "更新 OpenClaw..."。
0· 511·3 当前·3 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能逻辑一致,用于升级 OpenClaw,但其运行时指令会读取包含潜在秘密的实时配置,并可能将数据发送给外部模型提供商,而无需或记录凭证处理——此不匹配值得谨慎对待。
评估建议
该技能看似如其所言(升级和审计 OpenClaw),但有两个重要风险需要权衡:1) 它读取实时网关配置和变更日志,并将呈现每个新配置键或变更日志条目,可能包括秘密(API 密钥、令牌、凭证)。2) 它要求选择子代理模型,并警告 '外部提供商将接收配置数据' — 如果选择外部模型(Anthropic、Deepseek 等),您的配置可能会发送到平台外。推荐:完全审查 SKILL.md;如果必须运行,请为子代理选择本地/本地模型或确保网关配置中没有秘密;在运行之前备份 ~/openclaw 并手动存储重要更改;检查并删除/旋转网关配置中的任何敏感值或限制工具为 dry-run/audit-only 模式;确认您将批准任何应用操作(技能声称不会在没有明确批准的情况下应用)。另外,请注意轻微的元数据不匹配(嵌入的 _meta.json 版本与注册表版本不同)——这不一定是恶意的,但如果您依赖起源,请与技能作者检查。...详细分析 ▾
✓ 用途与能力
名称/描述与必需的二进制文件(openclaw、clawhub、curl)和操作(更新、变更日志差异、架构/配置审计、hooks、clawhub)一致。所请求的工具适合声明的升级/审计目的。
⚠ 指令范围
SKILL.md 指示代理读取实时网关配置(gateway config.get)、架构、本地变更日志(~/openclaw/CHANGELOG.md)、hooks,并运行 openclaw 更新和 git stash/pop。它要求呈现每个变更日志条目和每个新配置选项。它不指示对敏感值进行修订,并明确指出,当选择远程子代理模型时,'外部提供商将接收配置数据' — 这可能将秘密或敏感配置暴露给第三方模型。
✓ 安装机制
仅指令的技能,无安装规格和代码文件;安装程序不会在技能自己的设置/状态文件之外写入磁盘。低安装风险。
⚠ 凭证需求
该技能声明没有必需的环境变量,但它指示将实时配置数据发送到子代理(可能是外部模型)。没有关于 API 密钥、修订或限制共享的配置部分的指导或强制执行。由于技能可以通过模型查询在不声明或控制凭证使用的情况下窃取敏感配置/凭证,因此这是不成比例的。
ℹ 持久化与权限
该技能在其目录中持久化 settings.json 和 state.json(用于跟踪升级),并作为更新流的一部分在用户的 openclaw 存储库中运行 git stash/pop。它不请求 always:true 或系统范围的权限,但其使用 git stash/pop 可以修改用户的工作树,并且应该仅在获得用户的明确批准后运行(SKILL.md 需要在应用更改之前获得批准)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/2/25
v2:使用本地 CHANGELOG.md 差异代替无用的 llms.txt。配置架构差分析。通过启用的频道/插件进行相关性筛选。状态持久性(state.json)。Git 存储处理。分类报告(功能/修复/安全/破坏)。全面报告保证 — 没有遗漏。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install upgrade-openclaw
镜像加速npx clawhub@latest install upgrade-openclaw --registry https://cn.clawhub-mirror.com
技能文档
SKILL.md 中文翻译(由于原始内容未提供 SKILL.md 文件,以下为示例,实际内容应根据原始 SKILL.md 进行翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制