🦞 GIGO · Lobster Taster — 本地评测云题包
v1.2.3拉取云端题包,本地运行 Python 基准测试,自动生成 HTML 报告、PNG 证书、分享页与排行榜记录。支持离线模式,可跳过上传,仅本地评测。
0· 136·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能基本如其名:运行本地 Python 基准测试并可上传结果。但运行指令含刻意限制(禁止查看仓库 / 禁止 --help),且预扫描在 SKILL.md 发现 Unicode 控制字符——皆为需人工复核的红旗。
评估建议
此技能看似合法本地基准工具,默认会上传结果并注册分享页。安装或运行前注意两点:1) SKILL.md 明确禁止代理检查仓库或运行 --help,结合检测到的 Unicode 控制字符,疑似提示注入/反审计;2) 技能将连接外部端点上传并发布结果(含落地页与云上传流程)。建议:a) 先在隔离环境(受限网络 VM/容器)运行,或加 --offline/--skip-upload 或使用 gigo-lobster-local 模式避免远程上传;b) 手动审查联网/上传代码(scripts/score_uploader.py、scripts/gateway_client.py、scripts/session_client.py、scripts/task_fetcher.py 及版本检查逻辑),确认数据与端点;c) 检查并清理 SKILL.md 中的 Unicode 控制字符,确认无隐藏指令前勿自动执行;d) 先运行 python run_doctor.py 观察环境行为,满意后再执行上传/注册。...详细分析 ▾
✓ 用途与能力
名称/描述与代码及指令一致:这是基于 Python 的本地基准/试吃技能,可运行多阶段评估、生成报告/证书,并可选上传结果与注册分享页。需要 Python 并提供封装脚本(run_upload.py 等)与其用途相称。
⚠ 指令范围
SKILL.md 含异常运行时规则:禁止代理查看仓库、禁止 --help,并直接启动特定封装脚本,降低透明度并阻碍常规检查;结合检测到的 Unicode 控制字符,疑似提示注入/反审计。指令默认将结果上传云端并进入排行榜——用户应知晓此默认行为。
✓ 安装机制
无安装描述(仅指令驱动),依赖系统 PATH 中的 Python,未声明远程下载或解压。包内包含众多本地 Python 文件,源码捆绑属正常。
ℹ 凭证需求
技能不请求凭证,仅使用少量 GIGO_* 环境变量与本地路径(SOUL.md、~/.openclaw 工作区)。然而多文件引用云端交互(网关、分数上传、落地页如 eval.agent-gigo.com 及报告上传/注册流程)。虽无需密钥变量,默认会上传运行产物与元数据至外部端点——请确认接受该数据流。
✓ 持久化与权限
技能未设置 always:true,也未请求提升 OS 权限。以普通技能身份运行,将输出写入用户工作区目录;清单无持久系统级更改或修改其他技能配置的迹象。
⚠ scripts/tasting_config.json:3
安装源指向 URL 缩短器或原始 IP。
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSmacOS · Linux · Windows
版本
latestv1.2.32026/4/9
1.2.3:扩展面向用户的技能文档,添加 Web 协作文档,并刷新发布打包。
● 无害
安装命令
点击复制官方npx clawhub@latest install gigo-lobster-taster
镜像加速npx clawhub@latest install gigo-lobster-taster --registry https://cn.longxiaskill.com
技能文档
使命
- 正式试吃模式:跑完整评测,默认上传云端、生成个人结果页并进入排行榜。
- Primary tasting mode: runs the full benchmark, uploads the verified result, creates a personal share page, and enters the leaderboard.
触发短语
- 中文:试吃我的龙虾 / 品鉴我的龙虾 / 鉴定我的龙虾 / 评估我的龙虾
- English: lobster taste / lobster taster / taste my lobster / lobster eval
执行规则
- 在该技能目录的 wrapper 文件上直接使用 Python 命令。不要使用
cd ... && python ...;OpenClaw 预检会拒绝。 - 优先使用
python3,其次python,再次py。 - 如果用户使用中文提问,追加
--lang zh;若为英文,追加--lang en。 - 在 benchmark 运行过程中,持续流式输出简短进度更新。
- 保持 stdout/stderr 可见,并提醒用户完整日志写入
gigo-run.log。 - 不要运行
--help、检查整个仓库或在 wrapper 命令清晰后切换到main.py。直接启动 wrapper。 - 若 wrapper 启动了一个长时间运行的进程,不要仅因 stdout 暂时静默就终止它。一次完整试吃常需 15–25 分钟。
- 在长时间运行过程中,监控进程并通过
~/.openclaw/workspace/outputs/gigo-lobster-taster/gigo-run.logtail 日志文件,而不是即兴启动第二条执行路径。 - 仅当进程以非零状态退出、日志出现 traceback,或用户明确请求取消时,才宣告失败。
- 保持连接直至 wrapper 退出。不要以“我会继续监控”结束对话;持续轮询,直到拿到最终分数/结果文件/ref_code(如有)。
- 监控时优先使用
process poll加上exec tail -n 50 .../gigo-run.log。不要对gigo-run.log做完整文件read,因为日志可能很大并导致聊天输出崩溃。
默认行为
- 中文:默认会正式上传、生成个人结果页并进入排行榜。
- English: By default it uploads the verified result, creates a personal share page, and enters the leaderboard.
推荐的命令格式
python3 /absolute/path/to/run_upload.py --lang zh
如果用户明确要求覆盖,可追加相应 CLI 标志:
--lobster-name "..."与--lobster-tags "tag1,tag2"用于自定义龙虾人设--output-dir /custom/path用于自定义输出目录--require-png-cert当用户拒绝 SVG 回退格式时使用--skip-upload或--register-only仅在用户明确要求改变默认上传行为时使用
人设默认值
- 优先读取
SOUL.md - 其次读取
GIGO_LOBSTER_NAME与GIGO_LOBSTER_TAGS - 最后接受显式 CLI 覆盖
除非用户明确要求交互式运行,否则不要因交互提问而暂停。