by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
high confidence该技能的代码需要并调用带有宽松标志的本地 Claude CLI,会修改并可选地推送你的 git 仓库,但注册元数据和 SKILL.md 并未声明这些二进制/凭据需求——这种不匹配以及宽松 CLI 标志的使用令人担忧。
评估建议
该技能会调用本地 'claude' CLI(代码会检查 'claude --version'),并以宽松标志(--dangerously-skip-permissions)运行。它会在目标 src 目录内创建 .looop 文件夹,写入 tasks.json/progress.txt,生成并写入代码到你的仓库,执行 git commit,并可选择推送到远程。注册元数据未声明 Claude CLI 或任何 git 行为——这种不匹配是危险信号。安装或运行前:1)不要在敏感或生产仓库运行;先在隔离/临时仓库或容器测试。2)检查完整 run.py 及 Claude CLI 产生的任何提示/输出,确认会创建哪些文件、提交什么内容。3)在信任其行为前,避免使用 --push 选项。4)谨慎对待调用 Claude CLI 时使用的 '--dangerously-skip-permissions' 标志——了解该二进制文件可在系统上执行哪些操作。5)优先选择声明所需二进制/凭据并有可识别来源/主页的技能;如需继续,向作者索要来源信息。如你需要,我可以逐行列出代码:检查 Claude CLI、调用它、...详细分析 ▾
⚠ 用途与能力
该技能声称可分解需求并执行任务,与所含代码一致。然而代码依赖本地 'claude' CLI(运行时检查)并使用 git 操作;包元数据未声明所需二进制文件或凭据。要求已安装 Claude Code CLI 及可写 git 仓库是一项缺失于声明元数据的能力/需求,可能令用户意外。
⚠ 指令范围
SKILL.md 指示运行 run.py,它会调用 Claude CLI 来分析文档并“执行”任务。运行时代码向 Claude CLI 发送提示,要求创建文件并执行 git commit;提示甚至包含 git 命令。这可能导致代理向提供的 src 目录写入代码、提交更改,并可选择推送到远程——这些行为超出了只读分析,能够修改并传输仓库内容。
ℹ 安装机制
无安装规范(仅含指令),因此不会自动下载任何内容。但运行时需要外部二进制文件('claude'),而该文件未在技能元数据中声明。这种不一致降低了在运行技能前主机必须满足哪些条件的透明度。
⚠ 凭证需求
该 skill 未声明任何必需的环境变量,但代码会与系统环境交互(使用 os.environ,在 Windows 上可能设置 CLAUDE_CODE_GIT_BASH_PATH),并会在用户的 git 仓库上操作,可能触发 git push。这可能导致使用或暴露已有的 git 凭据(SSH 密钥、凭据助手或已存储的 token),而 skill 并未声明或说明该行为。
ℹ 持久化与权限
该 skill 并非始终安装,也不会请求提升的平台权限;但在被调用时,能够自主生成代码并修改仓库(提交并可选择推送)。鉴于其自主性及其他潜在问题,其运行时影响可能较大,需谨慎对待。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
- Claude Automated Development Toolkit(“looop”)技能首次发布。 - 将需求文档转换为结构化任务列表,并以循环方式自动执行任务直至项目完成。 - 支持分阶段工作流:需求分解与任务执行,并附带状态跟踪与进度记录。 - 所有任务数据与进度均存储于 `src/.looop/` 目录。 - 提供多种命令行参数,用于需求分解、任务执行、进度查看、人工干预及 git 集成。
● 可疑
安装命令
点击复制官方npx clawhub@latest install looop
镜像加速npx clawhub@latest install looop --registry https://cn.longxiaskill.com