by 安全扫描
OpenClaw
安全
medium confidence该技能实现了与描述一致的代理间 HTTP 客户端,但文档和包装中有一些小的不一致性,使用前应审查。
评估建议
该技能的代码与其声明的目的(A2A 注册表的 HTTP 客户端)一致,但文档中有一些小的不一致:示例引用了一个缺失的 PowerShell 脚本,并提到了未在提供的 Python 文件中实现的 SSE 支持。使用前:1) 确认 a2a_client.py 文件的行为。2)谨慎选择注册表 URL(默认为 localhost)。3) 除非信任远程代理网络,否则不要提供敏感的长期凭证。4) 如果需要 SSE 或 PowerShell 工具,请请求缺失的工件或使用经过审查的实现。如果有任何问题,请在沙盒环境中运行客户端或向发布者询问源/起源和签名发布。...详细分析 ▾
ℹ 用途与能力
代码(a2a_client.py)实现了与技能声明一致的代理发现、消息传递、任务和注册表交互过 HTTP。小的不匹配:SKILL.md 示例调用了一个不包含的 PowerShell 脚本(a2a.ps1);提供的实现是一个 Python CLI。元数据引用了一个主页,但源是未知的。
ℹ 指令范围
运行时指令仅对默认注册表(默认 http://localhost:8000)执行网络操作。SKILL.md 不指示读取本地文件、环境秘密或无关系统路径。文档提到 SSE/流媒体和 sseclient-py,但提供的 Python 客户端不实现 SSE 处理。
✓ 安装机制
没有安装规格;SKILL.md 建议安装 Python 包(requests、sseclient-py)。这是一个正常的、低风险的指令仅安装模式。引用的包是标准公共包;然而,sseclient-py 被建议但未在包含的代码中使用。
✓ 凭证需求
该技能不请求环境变量,只在运行时可选接受 API 密钥(用于设置 Bearer 授权头)。这对于网络客户端是合理的;没有请求无关的凭证或配置路径。
✓ 持久化与权限
该技能不请求持久存在(always:false)并且不修改其他技能或系统设置。它作为一个普通的客户端库/CLI 运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/22
强制重新扫描 — 已验证正常工作
● 无害
安装命令 点击复制
官方npx clawhub@latest install a2a-protocol
镜像加速npx clawhub@latest install a2a-protocol --registry https://cn.clawhub-mirror.com
技能文档
简介
该技能实现了 Agent2Agent (A2A) 协议,用于与其他 AI 代理通信。通过 HTTP 实现代理发现、消息传递、任务和注册表交互。使用方法
- 安装所需的 Python 包(requests、sseclient-py)。
- 运行 a2a_client.py,根据需要提供 API 密钥。
注意事项
- 使用前确保审查文档和包装中的不一致性。
- 谨慎选择注册表 URL。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制