by 安全扫描
OpenClaw
可疑
medium confidence该技能的声明目的(编写和运行任意代码)与指令匹配,但运行时指令引用未声明的沙盒控制,且技能可以执行高风险操作(文件系统更改、包安装、可选网络访问)。在启用之前,请审查平台沙盒和确认。
评估建议
该技能确实做了它声称的(生成和运行代码),但这种能力如果平台不强制执行真正的沙盒则是强大且风险高。安装前:(1)确认您的平台将强制执行 CODE_SANDBOX、CODE_TIMEOUT、CODE_ALLOW_NETWORK、CODE_ALLOW_FILESYSTEM 而不仅仅依赖技能的文本;(2)要求技能在执行修改文件或安装包的脚本之前始终要求明确的用户确认;(3)默认阻止网络访问,只为可信任的短期任务启用;(4)如果您不希望它无人值守地运行代码,请避免授予它无人值守调用;(5)如果必须使用,请先在隔离测试环境中运行并审计执行的命令和安装的包。技能提及沙盒控制但未在元数据中声明是一致性值得与发布者澄清的问题。...详细分析 ▾
ℹ 用途与能力
名称/描述(Python/JS/Bash 的动态代码执行)与 SKILL.md 匹配:它描述了生成代码、运行文件、REPL 和安装运行时依赖。该功能合理地需要访问语言运行时和可能的文件系统(用于基于文件的脚本)。然而,SKILL.md 引用了未在注册表元数据中声明的运行时守护(CODE_SANDBOX、CODE_ALLOW_NETWORK 等),这是一个不一致性。
⚠ 指令范围
指令明确指示代理生成和执行任意代码、从主目录路径运行脚本(例如,运行 ~/script.py)、在任意文件夹下重命名文件,并使用 pip 安装包。这些操作涉及读取/写入本地文件系统、执行任意进程和从包注册表拉取代码 — 所有高范围操作。文档指出,默认阻止网络访问,但可以切换,确认是建议的,但未由任何声明的机制强制执行。
ℹ 安装机制
没有安装规范(仅指令技能),这降低了来自安装程序的磁盘感染风险。然而,运行时指令允许代理在运行时使用包管理器(pip、ts-node/npm、sqlite3)安装依赖项 — 这允许从包注册表安装和执行任意第三方代码,如果不沙盒化,这是一个中等的运营风险。
⚠ 凭证需求
SKILL.md 枚举了环境控制(CODE_SANDBOX、CODE_TIMEOUT、CODE_ALLOW_NETWORK、CODE_ALLOW_FILESYSTEM、CODE_REQUIRE_CONFIRM),但技能元数据未列出任何必需的环境变量或主要凭证。这种不匹配意味着技能预计平台级环境控制未在此声明;不清楚谁执行这些控制。技能本身可以在不声明任何权限边界的情况下读取文件和运行命令。
ℹ 持久化与权限
always:false(正常)。技能是用户可调用且允许模型调用,这是标准的。然而,因为它启用了自主代码执行,赋予它无限制的自主调用将增加风险 — 考虑限制自主使用或要求所有代码运行的明确用户确认。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/28
- 发布“code-executor”的首个版本。 - 允许 bot 动态创建、执行和显示 Python、JavaScript、Bash、TypeScript 和 SQL 代码。 - 支持直接命令(如 run/execute)执行脚本或内联代码。 - 包括交互式 REPL 模式和依赖管理。 - 集成安全措施(沙盒、超时、网络阻塞、文件系统权限)。 - 适用于复杂计算、自动化和快速原型开发。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install code-executor
镜像加速npx clawhub@latest install code-executor --registry https://cn.clawhub-mirror.com
技能文档
动态执行 Python、JavaScript、Bash、TypeScript 和 SQL 代码。支持创建、执行和显示代码,包括直接命令、交互式 REPL 模式、依赖管理和安全措施。适用于复杂计算、自动化和快速原型开发。
用法
- 直接命令:
run <代码> - 脚本执行:
run ~/script.py - 交互式模式:
repl
安全措施
- 沙盒执行
- 超时控制
- 网络访问控制
- 文件系统权限控制
依赖管理
- 支持 pip、ts-node/npm、sqlite3
# 元数据(不翻译) ...(原始元数据保持不变)...
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制