by 安全扫描
OpenClaw
安全
high confidence一个惰性、仅用于测试 skill-publish-cli 的指令型金丝雀,不请求凭据、不执行安装,且与其声明用途保持一致。
评估建议
此技能是为使用 skill-publish-cli 的开发者准备的惰性测试固件,看似安全:不索取凭据、不执行安装,仅含描述性步骤与 README。安装前请确认你是否需要引用本地路径(/Users/yarnb/host-cli)及 skill-publish-cli 二进制文件的开发者专用 canary;若无该环境,技能不会生效。若允许自主代理操作,请注意 SKILL.md 中的步骤涉及运行 CLI 并切换目录——仅在你信任代理及环境时才允许。如有疑虑,可检查关联仓库(acong-tech/skill-publish-cli)或直接跳过/卸载该技能;删除无害。...详细分析 ▾
✓ 用途与能力
该技能被描述为 skill-publish-cli 的客户端冒烟测试,仅包含 fixture/description 文件;所请求的内容(无 env、二进制文件或安装)与此目的不成比例。
ℹ 指令范围
SKILL.md 包含面向开发者的步骤(例如“cd /Users/yarnb/host-cli”并运行“skill-publish-cli publish <absolute-fixture-path>”),这些步骤符合本地冒烟测试,但引用了特定开发者路径和 CLI。这并非恶意,但意味着该技能仅在匹配的开发者环境中才有用,且若代理执行这些步骤,可能会触发本地 CLI 命令。
✓ 安装机制
无安装规范,无代码文件;安装程序不会向磁盘写入任何内容作为技能包的一部分。
✓ 凭证需求
无需环境变量、凭据或配置文件路径——不请求过度权限。
✓ 持久化与权限
使用默认值(并非总是为 true)。该 skill 可被用户调用,也可能按平台默认设置自动调用,这属正常情况;它不会请求持久权限,也不会修改其他 skill。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/20
M2 消费者端冒烟:验证 publish-record 落在 host-cli/workspace 而非 skill-publish-cli/workspace
● 无害
安装命令
点击复制官方npx clawhub@latest install acong-host-cli-canary
镜像加速npx clawhub@latest install acong-host-cli-canary --registry https://cn.longxiaskill.com