by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与Python虚拟环境管理目的相匹配,但包含风险操作指导(远程安装脚本管道、破坏性的rm -rf .venv操作)且引用环境状态而未声明——使用前请审查。
评估建议
该技能在管理Python虚拟环境方面总体一致,但在让其自动运行命令前需谨慎。需要考虑两个具体风险:(1) 文档建议通过管道从https://astral.sh安装'uv'(curl | sh 或 irm | iex)。避免盲目管道运行远程脚本——请验证来源或通过操作系统/包管理器安装。(2) 故障排除建议使用'rm -rf .venv'恢复损坏的虚拟环境,这将不可逆地删除环境;执行破坏性操作前需用户确认。另请注意该技能读取环境变量如VIRTUAL_ENV和CONDA_PREFIX并检查项目文件(预期行为)——确保您信任该代理运行文件系统命令。如需降低风险,请对安装和删除操作要求明确的用户同意,或在审查后手动运行推荐命令。...详细分析 ▾
✓ 用途与能力
名称和描述与指令一致:检测项目文件、重用/创建虚拟环境,以及在uv/pip/conda/venv之间选择是连贯的。命令和文件检查与环境管理直接相关。
⚠ 指令范围
运行时指令引用系统文件和环境变量(如.venv/、requirements.txt、$VIRTUAL_ENV、$CONDA_PREFIX),这对于检测环境是合适的,但该技能也建议破坏性操作(rm -rf .venv)并自动化远程安装和激活。它对这些破坏性或网络安装操作没有限制或要求明确的用户确认。
⚠ 安装机制
虽然该技能仅是指令式的(无安装规范),但故障排除文档指导通过管道远程脚本安装'uv'(curl ... | sh 或来自https://astral.sh的irm ... | iex)。未经验证运行远程安装脚本是高风险模式,应谨慎对待。
ℹ 凭证需求
该技能声明没有必需的环境变量,但其指令读取$VIRTUAL_ENV和$CONDA_PREFIX来检测活动环境——这对于该目的是正常且合理的。没有请求不相关的凭证。不过,该技能将检查文件系统和环境状态,因此请考虑它可以读取项目文件和典型的venv相关环境变量。
✓ 持久化与权限
仅指令式技能,无安装规范,always:false且不声称持久性。它在提供的文档中不请求系统级配置更改。默认允许自主调用(平台行为),但此处未与广泛的凭证访问结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.2.02026/3/14
**英语翻译和语言更新。** - 所有指令、说明和注释现在均以英语提供,而非中文。 - 现代化并澄清了描述和标题。 - 逻辑、原则或工作流程内容无重大变更。 - 更新了UI示例和表头为英语,以提高可访问性。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install python-venv
镜像加速npx clawhub@latest install python-venv --registry https://cn.clawhub-mirror.com
技能文档
核心原则
- 重用现有环境 - 不要重新创建,重用现有虚拟环境
- 使用项目类型决策 - 根据锁文件自动选择
- 按流行度推荐 - uv > pip > conda > venv
- 最小化中断 - 仅在必要时询问
工具流行度排名
| 优先级 | 工具 | 最适合 |
|---|---|---|
| 🥇 | uv | 新项目,快速安装 |
| 🥈 | pip | 优先兼容性 |
| 🥉 | conda | 数据科学,特定版本 |
| 4 | venv | 内置,无需额外安装 |
| 5 | poetry | 现有poetry.lock |
| 6 | pipenv | 现有Pipfile(逐渐减少) |
决策流程
┌─────────────────────────────────────┐
│ 检测项目依赖文件 │
└─────────────────────────────────────┘
↓
┌─────────┴─────────┐
↓ ↓
明确决策 不明确
↓ ↓
直接使用 检测现有环境
↓ ┌─────┴─────┐
↓ ↓
有环境 无环境
↓ ↓
重用 评估复杂度
↓ ┌─────────┴─────────┐
↓ ↓
简单任务 需要依赖
↓ ↓
系统Python 推荐uv/conda
1. 明确决策(直接执行,不询问)
检测到这些文件时,直接使用相应工具:
| 检测到的文件 | 执行 |
|---|---|
存在 uv.lock | uv sync 或 uv pip install -r requirements.txt |
存在 poetry.lock | poetry install |
存在 environment.yml | conda env create -f environment.yml |
存在 Pipfile.lock | pipenv install |
2. 检测现有环境(优先重用)
# 优先级: uv venv > conda > venv
# 2.1 检测uv虚拟环境
ls -la .venv/ 2>/dev/null && uv pip list 2>/dev/null | head -3
# 2.2 检测conda环境
conda info --envs 2>/dev/null | grep "" || echo $CONDA_PREFIX
# 2.3 检测标准venv
ls -la venv/ .venv/ env/ 2>/dev/null
# 2.4 如果存在 → 重用(激活并运行命令)
重用示例:
检测到现有.venv/目录 → 激活: source .venv/bin/activate → 运行: uv pip install
3. 不明确时(评估复杂度)
| 场景 | 操作 |
|---|---|
| 仅stdlib,无第三方 | 系统Python (python3) |
| 简单pip安装测试 | 系统Python(临时) |
| 有requirements.txt | 推荐 uv > pip > venv |
| 有pyproject.toml | 推荐 uv > pip |
| 多文件项目,需要隔离 | 推荐 uv |
4. 何时询问用户(仅这些情况)
✅ 询问:
- 空项目 + 首次依赖安装 → 询问使用哪个工具
- 同时有requirements.txt + pyproject.toml → 询问使用哪个
- 用户明确想要不同工具 → 例如"我想要conda"
❌ 不询问:
- 有uv.lock但用户未指定
- 有.venv/目录
- 常规pip安装任务
5. 推荐工具(无明确指令时)
首选: uv
├── uv venv (创建)
├── uv pip install (安装)
└── uv sync (同步)备选: pip
├── python3 -m venv .venv
└── pip install
特殊: conda
├── conda create -n envname python=x.x
└── conda env create
检测命令
# 检查可用工具
which uv
which conda
which pip
which python3# 检查项目文件
ls -la .lock pyproject.toml requirements.txt environment.yml Pipfile 2>/dev/null
# 检查现有环境
ls -la .venv/ venv/ env/ 2>/dev/null
conda info --envs 2>/dev/null
# 检查当前环境
echo $VIRTUAL_ENV
echo $CONDA_PREFIX
交互示例(仅在需要时)
🔍 检测结果:
- 项目文件: pyproject.toml
- 现有环境: 无
- 推荐: uv (最快)
运行: uv pip install
🔍 检测结果:
- 项目文件: requirements.txt
- 现有环境: 无
- 推荐: uv
可用选项:
1) uv (推荐) - 更快
2) pip - 更好的兼容性
3) venv - 使用stdlib
4) conda - 如需特定版本
输入选项或按回车使用推荐:
快速命令参考
| 操作 | uv | pip | conda | venv |
|---|---|---|---|---|
| 创建环境 | uv venv | - | conda create | python3 -m venv |
| 安装包 | uv pip install | pip install | conda install | pip install |
| 安装依赖 | uv sync | pip install -r | conda env create | pip install -r |
| 激活 | (自动) | (自动) | conda activate | source venv/bin/activate |
核心原则
"多做少问" - 当能够确定时直接执行,仅在真正不明确时才询问。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制