📦 Hermes — 赫尔墨斯
v1.0.2LSP Client通过 stdio 连接外部 Language Server Protocol (LSP) 服务器,提供 goto definition、find references、hover、symbol 等代码智能功能。
0· 23·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
安全
medium confidence该技能实现了一个与描述一致的本地 LSP 客户端;它会启动本地语言服务器进程并读取代码文件(符合预期),但需注意它会启动子进程、可能继承环境变量,且 README/SKILL.md 建议从第三方 GitHub tarball 安装或使用 npx,存在中等运营风险。
评估建议
该技能与其声明用途(本地 LSP 客户端)一致,但安装前请:1)检查 SKILL.md 一键安装命令指向的仓库(olveww-dot/openclaw-hermes-claude),确认可信;2)知悉本技能会启动本地 language-server 进程并读取你指定的文件,切勿将敏感文件路径(如密钥、SSH 密钥、系统密码文件)传给 LSP 命令;3)子进程继承你的环境变量,环境中若含秘密信息可能被 language server 访问;4)若允许运行时调用 'npx' 等工具,其可能在运行时联网下载包;5)如需更高保障,请在隔离环境运行或逐行审阅 TypeScript 源码(server-manager.ts、lsp-commands.ts)后再启用。...详细分析 ▾
✓ 用途与能力
名称/描述与实现相符:代码展示了一个 LSP 服务器管理器,负责启动 language-server 进程并提供 LSP 命令封装。所需功能(子进程、stdio JSON-RPC、文件读取)均与提供 LSP 特性保持一致。
ℹ 指令范围
SKILL.md 指导安装 LSP 服务器,并提供一行安装命令从 GitHub 下载。运行时会用 fs.readFile 读取任意文件路径以打开/更新文件,并启动本地服务器二进制;这对 LSP 客户端属正常行为,但意味着该技能可访问代理有权打开的任何文件,并将 LSP 响应回传给代理。
ℹ 安装机制
注册表中无正式安装规范,但 SKILL.md 提供了一条 curl | tar 命令,从第三方 GitHub 仓库下载 main.tar.gz。使用 GitHub releases 很常见,但从外部仓库下载并执行归档内容的风险高于注册表管理安装,应进行验证。
ℹ 凭证需求
该技能未声明任何必需的环境变量或凭据(合理)。实现通过 env: { ...process.env, ...config.env } 启动进程,这是常见做法,但意味着子 LSP 服务器会继承代理的完整环境(可能将机密暴露给本地子进程)。此外,某些服务器命令使用 'npx',可能在运行时拉取包。
✓ 持久化与权限
技能并非始终启用,也不会请求提升或持久的平台权限。安装脚本仅将文件复制到用户技能目录;不会修改其他技能或系统级配置。
⚠ src/server-manager.ts:75
检测到 Shell 命令执行 (child_process)
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/20
v1.0.2:添加一键安装命令,ClaWHub 安装后可直接使用
● 无害
安装命令
点击复制官方npx clawhub@latest install hermes-lsp-client
镜像加速npx clawhub@latest install hermes-lsp-client --registry https://cn.longxiaskill.com