by 安全扫描
OpenClaw
可疑
medium confidence该技能文档声称支持完整的 LangChain 功能集,但提供的代码仅为占位符,SKILL.md 对凭证和安装说明不够详细,存在可疑之处,需澄清后使用。
评估建议
该包看似为占位模板而非真正的 LangChain 集成。使用前:(1)向作者询问真实源码或解释功能列表与代码差异的变更日志;(2)永远不要直接在代码中粘贴 API 密钥,应使用环境变量或安全密钥存储;(3)如果测试,请在隔离环境中运行,因为 SKILL.md 表示它可能会读取文件和调用外部 API;(4)优先选择来自知名源的发布版本或要求提供完整实现和安全说明。由于声明与代码不符,请在澄清前将其视为不可信任。...详细分析 ▾
⚠ 用途与能力
名称/描述承诺全面的 LangChain 功能(记忆、PDF上的 RAG、工具调用、代理路由),但包含的代码(一个返回格式化字符串的函数)没有实现任何这些功能。该技能还声明没有必要的环境变量或安装步骤,尽管 SKILL.md 列出了 Python 包和 API 密钥作为先决条件。这是声明的能力和实际脚印之间的不一致。
ℹ 指令范围
SKILL.md 描述了需要读取上传的文件、调用 Web 搜索/计算器工具和联系外部 LLM 提供商的操作。指令是高级别和模糊的(例如,'工具调用','读取文件','在代码中设置 API 密钥'),留下了广泛的自由裁量关于代理将访问或传输什么。当前实现不执行这些操作,但 README 建议如果实现了,代理可以这样做。
✓ 安装机制
没有安装规范(仅指令)。这降低了立即风险,因为没有自动下载或写入磁盘的内容。SKILL.md 列出了用户必须自己安装的必需 Python 包;没有包含自动化或网络安装程序。
⚠ 凭证需求
注册元数据列出没有必要的环境变量,但 SKILL.md 提到需要 Gemini/DeepSeek/Groq 的 API 密钥,甚至说如果需要,可以在代码中设置密钥。要求作者/用户将 API 密钥嵌入代码是一个危险信号,缺乏声明的环境变量与文档要求不一致。
✓ 持久化与权限
该技能不是始终启用,不请求持久的系统范围权限,并且不包含安装时脚本。没有证据表明它修改了其他技能或代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/15
更新了 Gemini 后端支持,从 Gemini 1.5 Flash 更新到 Gemini 2.0 Flash。修改了 SKILL.md 文档以反映新的支持的 Gemini 模型。
● 无害
安装命令
点击复制官方npx clawhub@latest install langchain-skill
镜像加速npx clawhub@latest install langchain-skill --registry https://cn.longxiaskill.com
技能文档
该技能使用 LangChain (Python) 库处理智能查询,支持长期记忆、PDF上的 RAG、工具调用(搜索、计算器)和代理自我推理。
主要功能
- 后端:Python + LangChain(支持 Gemini 2.0 Flash、DeepSeek-chat 或 Groq 回退)
- 记忆:会话内对话上下文记忆(会话缓冲记忆或摘要记忆)
- RAG:支持上传 PDF → 精确回答文档问题
- 工具调用:自动调用 Web 搜索、计算、读取文件等
- 使用:
langchain <查询>或langchain: <问题>
示例使用
langchain: 区块链是什么? 简要解释。langchain: 我的名字是什么?(在之前介绍后)langchain: 总结刚上传的 PDF 文档。langchain: 计算 15 * 23 + 7^2 的结果是多少?
要求
- 已安装的虚拟环境:langchain、langchain-community、langchain-google-genai(如果使用 Gemini)
- API 密钥:Gemini/DeepSeek/Groq(如果需要,在代码中设置)
注意
- 该技能运行在 Python 上,不依赖 Node.js。
- 作者:由 S0nSun & Grok 集成(基于 LangChain 2026)
- 可扩展:添加代理路由、多工具、RAG 文件夹支持