by 安全扫描
OpenClaw
可疑
medium confidence该技能用途(Makefile 审查)与说明一致,但存在显著不匹配与风险指令:它假定并调用未声明的工具,且包含可运行或修改仓库的步骤,运行前请审查。
评估建议
此技能为真实的 Makefile 审计指南,但运行前请采取以下预防措施:
(1) 确认平台配置钩子(night-market.pensive:shared 与 night-market.imbue:proof-of-work)及其接收的数据;
(2) 确保所需工具(ripgrep/rg、make、python、pytest 等)存在且为预期版本——技能未声明它们;
(3) 将任何“apply”或演示步骤视为可能修改或执行仓库代码:请在安全环境运行或仅使用试运行/测试模式(例如避免 --apply,使用 make -n,在隔离容器内运行生成的目标);
(4) 在允许运行前检查任何辅助脚本(如 makefile_dogfooder.py);
(5) 若需更高保障,请要求维护者添加显式所需二进制列表、显式先试运行策略,以及更清晰的 imbue:proof-of-work 钩子传输内容文档。...详细分析 ▾
ℹ 用途与能力
技能名称/描述与所含模块与 Makefile/审计工具一致。然而,运行时指令调用工具与脚本(rg/ripgrep、make、pytest、python 脚本如 makefile_dogfooder.py、imbue 日志),而注册元数据未声明所需二进制——存在比例不匹配(技能隐式需要这些工具)。所需配置路径(night-market.pensive:shared、night-market.imbue:proof-of-work)对内部日志/钩子而言合理,但应予以记录。
⚠ 指令范围
SKILL.md 让代理运行仓库扫描命令(pwd、git status、rg 模式、make -pn),这对审查属正常。但它还记录调用脚本(makefile_dogfooder.py)带 --apply 及演示目标须“运行实际功能”,可执行代码并修改文件。它指示使用“imbue:proof-of-work”记录输出(即发送/记录结果)。文件内无任何内容限制破坏性操作或要求在应用更改前必须试运行。
✓ 安装机制
仅指令型技能,无安装规范与代码文件——安装风险低。技能包本身不下载或写入任何内容。
ℹ 凭证需求
未请求环境变量或凭证,从而限制远程泄露风险。技能确实声明两个所需配置路径(night-market.pensive:shared、night-market.imbue:proof-of-work),它们似乎是平台钩子;其用途应予以澄清。更大担忧在于未声明的工具依赖(rg、pytest、python、make)被指令引用。
✓ 持久化与权限
always:false 且无安装步骤——技能不请求永久包含或特权级代理设置。它确实包含在调用时可更改仓库内容的操作(apply/生成 Makefile 目标),但这属于 Makefile 编写/审查工具范畴,而非试图持久化自身。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/15
- Makefile 审查技能初始发布。 - 审计 Makefile 的构建正确性、可移植性与配方重复。 - 引导用户完成定义的工作流:上下文映射、依赖图构建、去重审计、可移植性检查与证据记录。 - 包含详细的输出格式与测试说明。 - 提供常见问题(如缺少 Makefile 或未解析的包含)的故障排除提示。
● 可疑
安装命令
点击复制官方npx clawhub@latest install nm-pensive-makefile-review
镜像加速npx clawhub@latest install nm-pensive-makefile-review --registry https://cn.longxiaskill.com
技能文档
Night Market Skill — ported from claude-night-market/pensive. For the full experience with agents, hooks, and commands, install the Claude Code plugin. ## 目录 - 快速开始 - 何时使用 - 必需的 TodoWrite 项 - 工作流 - 步骤 1:映射上下文 (makefile-review:context-mapped) - 步骤 2:依赖图 (makefile-review:dependency-graph) - 步骤 3:去重审计 (makefile-review:dedup-candidates) - 步骤 4:可移植性检查 (makefile-review:tooling-alignment) - 步骤 5:证据日志 (makefile-review:evidence-logged) - 渐进式加载 - 输出格式 - 摘要 - 测试 ## 测试 运行pytest plugins/pensive/tests/skills/test_makefile_review.py以验证审查逻辑。 # Makefile Review 工作流 审计 Makefile 是否符合最佳实践、去重和可移植性。 ## 快速开始 ``bash /makefile-review`## 何时使用 - Makefile 变更或新增 - 构建系统优化 - 可移植性改进 - CI/CD 流水线更新 - 开发者体验改进 ## 何时不使用 - 创建新 Makefile — 使用 abstract:make-dogfood - 架构审查 — 使用 architecture-review ## 必需的 TodoWrite 项 1.makefile-review:context-mapped2.makefile-review:dependency-graph3.makefile-review:dedup-candidates4.makefile-review:tooling-alignment5.makefile-review:evidence-logged## 工作流 ### 步骤 1:映射上下文 (makefile-review:context-mapped) 确认基线:`bash pwd && git status -sb && git diff --stat`验证: 运行git status以确认工作区状态。 查找与 Make 相关的文件:`bash rg -n "^include" -g'Makefile' rg --files -g '.mk'`记录变更的 target、项目目标及工具链需求。 ### 步骤 2:依赖图 (makefile-review:dependency-graph) @include modules/dependency-graph.md ### 步骤 3:去重审计 (makefile-review:dedup-candidates) @include modules/deduplication-patterns.md ### 步骤 4:可移植性检查 (makefile-review:tooling-alignment) @include modules/portability-checks.md ### 步骤 5:证据日志 (makefile-review:evidence-logged) 使用imbue:proof-of-work记录带文件:行号引用的命令输出。 总结发现: - 严重程度(critical、major、minor) - 预期影响 - 建议的重构 - 负责人及后续日期 ## 渐进式加载 按需加载额外上下文: 最佳实践与示例:@include modules/best-practices.md插件自测检查:@include modules/plugin-dogfood-checks.md- Makefile 完整性分析、target 生成及自测验证。 ## 输出格式`markdown ## 摘要 Makefile 审查发现 ## 上下文 - 审查的文件:[列表] - 变更的 target:[列表] ## 依赖分析 [图及问题] ## 重复候选 ### [D1] 重复命令 - 位置:[列表] - 建议:[模式规则] ## 可移植性问题 [跨平台关注点] ## 缺失的 target - [ ] help - [ ] format - [ ] lint ## 建议 批准 / 附带操作批准 / 阻止`## 退出条件 - 上下文已映射 - 依赖已分析 - 去重已审查 - 可移植性已检查 - 证据已记录 ## 故障排除 ### 常见问题 未找到 Makefile 确保项目根目录存在Makefile或.mk文件,或显式指定路径。 include 指令未解析 手动运行rg -n "^include" -g'Makefile'` 追踪 include 链。