旺格
v1.0.0Ide Auto Skill Hunter主动发现、排名和安装高价值的ClawHub技能,通过挖掘未解决的用户需求和代理人上下文。当新的任务未解决时,...
0· 19·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
medium confidence该技能的行为在很大程度上与主动的“技能发现和安装”工具一致,但它可以读取可能敏感的会话/配置文件,能够克隆和安装第三方技能,并调用外部报告——这些功能大大增加了风险,启用自动运行之前应仔细审查。
评估建议
This skill is coherent with its stated goal but has meaningful risks you should accept consciously before enabling automatic runs. Key actions you can take: 1) Start with --dry-run and SKILL_HUNTER_NO_REPORT=1 to preview candidates without installs or external reports. 2) Limit --max-install to 1 and run it manually at first. 3) Review the hunt.js code paths that perform git clones/scaffolds and the downstream SKILL.md/index.js of any candidate before allowing them to install/run. 4) Restrict ex...详细分析 ▾
ℹ 用途与能力
The name/description (discover, rank, install skills) match what the code does: mining session/memory files, searching ClawHub, and installing candidates. However the skill reaches into agent session logs (agents/main/sessions), USER.md, and personality state outside the immediate workspace—access that is reasonable for problem-mining but broader than a minimal 'discovery' tool and should be expected and reviewed.
⚠ 指令范围
SKILL.md instructs running the included hunt.js which (per source) reads recent session JSONL files, task memory, personality/user profile, scores candidates, then clones/installs top skills and runs self-tests. It also references an outbound reporting script and an env flag to disable reporting. Reading cross-session logs and sending external reports are outside purely local search and expand the data-surface exposed by this skill.
⚠ 安装机制
There is no formal install spec, but the code performs repo cloning and scaffold fallbacks to write new skills into the local skills directory. That amounts to downloading and executing third-party code at runtime — expected for a hunter, but high-risk because upstream skill code may be unvetted. The code uses child_process (execSync/spawnSync) which can run arbitrary system commands during discovery/install.
ℹ 凭证需求
The skill declares no required env vars, but the code reads workspace files (USER.md, memory files, sessions) and honors SKILL_HUNTER_MAX_INSTALL and SKILL_HUNTER_NO_REPORT env flags. It does not request cloud keys, but it does access potentially sensitive local artifacts (session logs, user profile) which is proportionate to problem-mining yet privacy-sensitive and not explicitly declared in metadata.
ℹ 持久化与权限
always:false and model invocation is allowed (default). The skill writes to the skills directory (installs/clones) and recommends periodic runs (cron). Autonomous installation capability combined with filesystem write and outbound reporting increases blast radius if misused, but autonomous invocation alone is normal for skills.
⚠ src/hunt.js:594
Shell command execution detected (child_process).
⚠ src/hunt.js:59
Environment variable access combined with network send.
⚠ src/hunt.js:89
File read combined with network send (possible exfiltration).
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
auto-skill-hunter 的初始版本发布 —— 一个用于 ClawHub 代理的主动技能发现和安装工具。 - 自动挖掘未解决的用户需求和会话上下文,以找到并排名高价值的技能。 - 支持完全自动的巡逻模式和针对特定缺口的目标技能狩猎。 - 安装经过审查的技能,并在简洁的报告中解释选择的理由。 - 包括安全功能:安装数量上限、预览(`--dry-run`)和永远不会覆盖现有的技能。 - 推荐用于需要无人值守能力增长或轻量级发现/测试/保留工作流的代理。
● 可疑
安装命令
点击复制官方npx clawhub@latest install wanng-ide-auto-skill-hunter
镜像加速npx clawhub@latest install wanng-ide-auto-skill-hunter --registry https://cn.longxiaskill.com 镜像可用
技能文档
Auto Skill Hunter 持续扩展代理的能力栈以任务相关的技能,并解释为什么每个选定的技能值得尝试。
何时使用
使用此技能时至少满足以下条件之一:- 用户要求当前技能无法可靠解决的任务。
- 类似问题在最近的会话中不断出现。
- 用户明确要求发现/安装更好的技能。
- 代理需要在计时器上进行主动的能力增长。
高价值结果
- 更快地发现实际任务的实用技能。
- 降低在ClawHub上的手动浏览努力。
- 通过互补性评分实现技能栈的多样性。
- 通过有界安装计数和可运行性检查实现更安全的采用。
使用方法
``bash
node skills/skill-hunter/src/hunt.js
`
常用命令
`bash
# 1) 全自动巡逻
node skills/skill-hunter/src/hunt.js --auto
# 2)针对特定未解决问题的有针对性搜索
node skills/skill-hunter/src/hunt.js --query "无法可靠地获取网页并总结关键见解"
# 3) 预览(不写入/安装)
node skills/skill-hunter/src/hunt.js --dry-run
# 4)限制每次运行的安装数量
node skills/skill-hunter/src/hunt.js --max-install 2
`
核心工作流程
- 从最近的聊天/会话内存中提取未解决的问题和主题信号。
- 使用趋势信息和查询端点搜索ClawHub。
- 使用多因素排名评分候选项:
- 问题相关性
配置文件和个性适配(USER.md+ 个性状态)- 与已安装技能的互补性
- 质量信号(如星级/下载量,当可用时)
- 安装具有可运行入口和自我测试回退的顶级候选项。
- 生成一个简洁的推荐报告,包括优势、场景和选择理由。
最佳适用场景
- 用户要求当前技能无法很好解决的任务。
- 最近的会话显示重复的失败或未解决的票据。
- 代理需要在无需手动策划的情况下进行主动的能力增长。
- 团队希望实现轻量级的“发现 -> 测试 -> 保留/删除”循环。
操作模式
自动巡逻模式:--auto用于周期性的能力增长。目标模式:--query "..."当特定的用户问题已知时。安全预览模式:--dry-run在启用实际安装之前。
推荐执行策略
在新环境中从--dry-run开始。使用--max-install 1~2以避免嘈杂的批量安装。当没有候选项通过阈值时,重新运行具有专注的--query。- 只保留在至少一个真实任务运行中幸存的技能。
定时触发器推荐
为了实现持续的价值,请在计时器上运行Auto Skill Hunter:
- 对于高变化或快速移动的项目,每30分钟。
- 对于正常的工作流程,每60分钟。
- 对于稳定的环境,每120分钟。
此节奏保持能力覆盖的新鲜度,并减少当新用户需求出现时的反应延迟。
建议的Cron风格例行程序
`bash
# 高变化项目
/30 node /path/to/workspace/skills/skill-hunter/src/hunt.js --auto --max-install 1
# 正常项目
0 * node /path/to/workspace/skills/skill-hunter/src/hunt.js --auto --max-install 2
`
安装策略
默认每次运行最多安装2个(可使用--max-install或环境变量配置)。- 跳过已安装的技能。
- 当远程克隆失败时,回退到脚手架模式。
安全和质量防护栏
- 永远不要覆盖现有的技能文件夹。
- 更喜欢小而频繁的巡逻,而不是大规模的一次性安装。
- 保持报告输出简洁和面向行动。
使用SKILL_HUNTER_NO_REPORT=1`在本地测试期间禁用出站报告。