📦 Toolchain BootstrapOpenClaw — 工具链 BootstrapOpenClaw
v1.0.0新容器初始化工具链引导程序。自动从 GitHub 下载 toolchain_v2.tar.gz,解压到 /workspace,配置 PATH 环境变量,验证所有已安装语言/工具。适用场景:新容器启动后一行命令完成全部开发环境配置。
1· 9·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
安全
high confidence该技能的代码与说明与其既定目的相符(下载工具链 tarball,解压到 /workspace 并设置 PATH);主要风险在于运行来自外部 GitHub release 的已解压二进制包,且脚本在解压前缺乏完整性校验。
评估建议
此技能确实会按描述操作(下载并安装工具链到 /workspace 并配置 PATH),但在敏感环境运行 setup 前请谨慎:
1) 脚本会从第三方 GitHub release 下载并解压大型 tarball,且不校验 checksum 或签名——请先检查该 release 与仓库。
2) tarball 会在磁盘写入二进制/库文件;若不完全信任作者,请在一次性或隔离容器内安装。
3) 安装器会向 ~/.bashrc 追加环境变量(持久化)。想降低风险,可先执行不下载的 'verify' 或 'list' 命令,或手动下载并检查 tarball(如列出内容、扫描异常可执行文件)再解压。
4) 建议先确认 GitHub 仓库所有者及 release 完整性(checksum/GPG),或增加显式校验步骤后再运行 setup。...详细分析 ▾
✓ 用途与能力
名称/描述、skill.toml 调用、SKILL.md 以及两个脚本均一致地实现了一个工具链引导器:下载发布 tarball、解压到 /workspace、写入环境变量并验证已安装的工具。所请求的资源与操作均符合声明目的;未索取无关凭据或服务。
⚠ 指令范围
运行时指令和脚本从 GitHub 下载大型归档并解压到 /workspace,随后将环境变量写入 /workspace/.toolchain_env,并在可写时追加到 ~/.bashrc。脚本未进行完整性校验(无校验和或签名验证),会把二进制/库文件持久化到磁盘,后续可能被直接执行。虽然该行为符合引导程序逻辑,但缺乏工件验证且对 shell 的持久化修改属于显著风险。
ℹ 安装机制
没有正式的安装规范;脚本会从 GitHub releases URL(知名主机)进行网络下载并解压归档。在此用例中,从 GitHub 下载并解压是预期行为,但解压一个未经校验的 590MB 归档属于中高风险,因为任意二进制/库会被写入容器文件系统。
✓ 凭证需求
该 skill 不请求任何 secret 或外部凭据。它会修改 shell 配置:将环境变量写入 /workspace/.toolchain_env,并向 ~/.bashrc(若可写)追加 env 块,这对 toolchain 安装器是合适的,但应明确告知用户。它使用典型容器中已有的常见系统工具(curl、tar、grep、awk);这些二进制文件未声明,但属于标准工具。
ℹ 持久化与权限
该技能会持久化环境变更(写入 /workspace/.toolchain_env 并追加到 ~/.bashrc)。always 为 false,不会修改其他技能或平台级设置。持久化是该技能的预期行为,但用户应知晓它会修改 shell 启动文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
toolchain-bootstrap 初始版本发布: - 一键在新容器内自动完成多语言工具链配置。 - 从 GitHub 下载并解压预编译工具链归档至 /workspace。 - 自动在 ~/.bashrc 配置 PATH、JAVA_HOME 及相关环境变量。 - 提供设置、验证与列出已安装工具的命令。 - 支持 Go、Java(OpenJDK)、Maven、Erlang、Elixir、Rust、Ruby、Lua、Node.js 与 Python。
● 可疑
安装命令
点击复制官方npx clawhub@latest install toolchain-bootstrap
镜像加速npx clawhub@latest install toolchain-bootstrap --registry https://cn.longxiaskill.com