📦 Skill Quality Assurance — 技能质量六维评估助手
v0.1.0技能质量六维评估助手。使用结构化六维评估模型(T 技术深度、C 认知增强、O 编排能力、E 进化能力、M 市场验证、U 用户体验)对技能进行自动化评估。使用场景:(1) 新技能开发完成后需要质量评估,(2) 现有技能需要版本升级评估,(3) 准备 ClawHub 上架前需要质量检查,(4) 定期技能健康检查。
0· 17·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence技能说明、运行指令和随附脚本在目的与实现上是一致的:它在本地读取技能文件/目录并生成评估报告,没有请求外部凭证或发现网络外发行为。
评估建议
该技能自成一体,功能是本地静态评估技能包并生成 Markdown 报告。建议在安装/运行前:1) 在沙箱或非敏感目录下运行首次评估以确认行为(因为评估器会读取传入的 skillPath);2) 如果允许代理自动调用技能,考虑信任边界——不要让代理传入系统根目录或包含密钥/凭证的路径;3) 如需更高保障,可人工审计 scripts/evaluation-engine.js(目前仅使用 fs 读取并打分,未见网络请求或子进程调用);4) 若你希望该技能评估远端仓库或自动下载代码,先确认网络/凭证流程并审查相应实现。详细分析 ▾
✓ 用途与能力
名称和描述是"技能质量评估",所包含的文件(SKILL.md、references、assets、scripts/evaluation-engine.js)以及运行时行为(读取技能路径并生成报告)与其目的匹配。没有声明与任务无关的环境变量、凭证或二进制依赖。
ℹ 指令范围
SKILL.md 指示读取目标技能的 SKILL.md、目录结构、测试、文档等;scripts/evaluation-engine.js 实现也只是同步读取目录和文件并打分。注意:评估引擎按传入的 skillPath 读取任意路径,若被指向系统或敏感目录会暴露本地文件内容——这是功能范围内但需注意的权限边界。
✓ 安装机制
无安装规范(仅指令 + 附带脚本)。没有从不受信任的 URL 下载、没有在安装阶段写入或执行外部二进制。
✓ 凭证需求
不要求任何环境变量或凭证(requires.env 为空),脚本也没有引用外部 API 密钥或托管凭证,所需权限与评估任务匹配。
✓ 持久化与权限
flags 中没有 always:true,默认的可被用户或代理调用的权限与常规技能一致。脚本不修改其他技能配置或全局 agent 设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/16
首次发布:提供自动化六维质量评估工具。实现结构化 T/C/O/E/M/U 维度评分和报告,生成可操作的评估报告和优先级改进建议(P0/P1/P2),包含 ClawHub 上架前质量检查清单,采用评估工厂、渐进式披露和六维模型设计模式,支持单技能和批量技能 CLI 评估。
● 无害
安装命令
点击复制官方npx clawhub@latest install skill-quality-assurance
镜像加速npx clawhub@latest install skill-quality-assurance --registry https://cn.longxiaskill.com