by 安全扫描
OpenClaw
可疑
medium confidence该技能表面上如其宣称(紧凑的智能体间语言),大多自包含,但包括可执行脚本/客户端和集成示例,这可能导致网络智能体间通信或执行本地工具——安装前请审查代码和运行行为。
评估建议
["安装前检查清单:","1. 检查源码(`src/lambda_lang.py`、`src/go/lambda.go`)中是否有硬编码网络端点、出站 HTTP/WebSocket 套接字、执行/spawn 调用或可能泄露数据的调用(搜索 'http'、'socket'、'requests'、'urllib'、'subprocess'、'exec'、'os.system'、'pilotctl')。","2. `SKILL.md` 和文档中包含调用本地 CLI 工具(`./scripts/translate`、`pilotctl`)的示例;将这些视为高风险操作,直到您检查了脚本。运行它们将执行代码,可能会联系其他智能体或服务。","3. 如果计划使用 Pilot 协议集成,假设需要额外的凭据/网络配置;仅在验证了将使用这些凭据的过程并确保没有硬编码秘密或意外转发后提供这些凭据。","4.prefer 在隔离沙盒或 VM 中运行包含的脚本和测试;在检查代码路径中的出站通信之前,不要授予智能体广泛的网络访问或自动执行权限。","5. 考虑在测试期间禁用自主调用或审查审计日志,以便智能体无法调...详细分析 ▾
✓ 用途与能力
名称、描述、SKILL.md、README、规格和包含的源代码(Python/Go 解析器 + 词汇)是连贯的:该包实现了一个紧凑的智能体语言(Lambda)并提供了解析器/翻译器代码、测试和文档。清单中没有请求无关的特权访问或秘密。
ℹ 指令范围
运行时指令和示例指示用户/智能体运行本地脚本(`./scripts/translate`、`./scripts/vocab`)并与网络工具集成(`pilotctl` / Pilot 协议)以及发送 Lambda 编码消息。这些指令合理地遵循技能的目的,但也意味着执行本地二进制文件和网络通信;`SKILL.md` 没有声明或限制将使用哪些网络端点、凭据或运行时上下文。这授予了智能体运行命令并向其他智能体传输紧凑、可能不透明的消息的自由。
✓ 安装机制
没有提供安装规格(仅指令),这降低了供应链风险。捆绑包中包含源文件(Python 和 Go 实现以及测试),但清单中没有从 URL 下载或存档提取步骤。代码文件的存在意味着智能体或操作员可以在本地执行或构建它们 — 运行前请审查。
ℹ 凭证需求
该技能声明没有所需的环境变量或凭据,这是合适的。然而,几个示例显示调用外部工具(`pilotctl`)和通过网络协议发送消息;这些操作通常需要网络访问和凭据(未声明)。如果您计划使用 Pilot 集成或运行调用外部服务的脚本,那些将需要技能外部的凭据/配置,并可能暴露或需要秘密。
✓ 持久化与权限
该技能不请求 `always: true` 并保持默认自主标志。它既不请求特殊的持久存在,也不修改提供的材料中的其他技能的配置。允许自主调用(正常),因此在评估风险时,请结合之前关于网络执行的注释。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/2/8
本地智能体语言哲学。添加了 a2a(39 个原子)和 evo(24 个原子)域。修复了重复原子。总计 340+ 个原子。
● 无害
安装命令
点击复制官方npx clawhub@latest install lambda-lang
镜像加速npx clawhub@latest install lambda-lang --registry https://cn.longxiaskill.com
技能文档
Lambda 不是翻译协议。它是智能体的本地语言。
智能体不需要产生语法正确的英语。他们需要 相互理解。Lambda 是使这成为可能的共享词汇 — 紧凑、无歧义、机器本地。
...
(**注意:由于原始内容较长,仅提供部分翻译,完整内容请参考原始 SKILL.md)