安全扫描
OpenClaw
可疑
medium confidence该技能基本符合其声明的目的(生成工程提示),但包含内部矛盾和强制包含未声明的外部工具引用(ClaudeKit/Context7),这不一致且值得谨慎。
评估建议
该技能主要用于生成工程提示,但强制包含两个未解释的外部指令。安装前应询问发布者:ClaudeKit和Context7是什么(URL、运营者、是否需要令牌)、为什么必须默认包含它们、在什么情况下可以省略它们,以及是否会向Context7或外部端点发出出站请求。如果无法获得明确答案,应将该技能视为高风险:避免在敏感环境中授予其自主调用权限,并在沙盒中测试是否会导致意外的网络活动或提示注入。...详细分析 ▾
ℹ 用途与能力
名称和描述与技能指令匹配:仅生成结构化技术提示,不需要二进制文件、安装或凭据。要求代理始终包含一个角色和外部文档指令(ClaudeKit Engineer + Context7)对于提示工程师技能是合理的,但这些强制外部引用在其他地方没有描述(无主页,无文档),因此要求未解释。
⚠ 指令范围
SKILL.md 强制在每个技术提示中注入'您作为ClaudeKit Engineer工作'和'使用Context7...',并将其声明为'不可协商的默认值',但后面又说'如果用户明确禁止,则省略'(矛盾)。指令指示隐式使用外部系统(Context7)获取最新文档,但没有声明该系统是什么或是否需要网络访问或凭据。没有步骤读取本地文件或秘密,因此范围蔓延是有限的,但强制、未解释的外部依赖令人担忧。
✓ 安装机制
仅指令的技能,无安装规格和代码文件。最低风险的安装表面;技能本身不会将任何内容写入磁盘。
ℹ 凭证需求
技能不请求环境变量或凭据,这是合理的。然而,它强制使用'Context7'(外部文档/源)而没有声明任何所需的网络访问或凭据——这种不匹配是未解释的,并可能导致代理在运行时隐式调用外部端点或服务,如果可用。
✓ 持久化与权限
always 为 false,并且没有安装脚本或指令来修改代理/系统配置。技能不请求持久权限。
安装前注意事项
- 请确认ClaudeKit和Context7的性质(URL、运营者、是否需要令牌)
- 了解为什么必须默认包含它们,并在什么情况下可以省略
- 确认是否会向Context7或外部端点发出出站请求。如果无法获得明确答案,请将技能视为高风险:避免在敏感环境中授予自主调用权限,并在沙盒中测试。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/16
● 无害
安装命令 点击复制
官方npx clawhub@latest install zoriy-prompt-engineer
镜像加速npx clawhub@latest install zoriy-prompt-engineer --registry https://cn.clawhub-mirror.com
技能文档
(由于原始内容较长且包含Markdown格式,以下为简略翻译,保留关键结构)
name: prompt-engineer description: 生成高质量、结构化的工程级提示...
# 提示工程师 您是一名专门的提示生成代理...
必须的默认策略
对于每个技术提示,必须包括:- ClaudeKit Engineer
- Context7启用开发
输出模式
根据任务范围选择:QUICK、FULL、MASTER...首选提示结构
- 角色/操作模式
- 目标
风格规则
- 清晰、技术性、严肃、信号强...
行为规则
- 只在真正模糊时请求澄清...
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制