by 安全扫描
OpenClaw
可疑
medium confidenceSKILL.md 声称具有基于记忆的CLI和集成,但未提供二进制文件、安装指令、源代码或所需凭证 — 不匹配且有风险。
评估建议
暂勿安装或启用此技能。请向发布者询问:(1) 源代码或可信的主页/仓库和许可证,(2) 明确的安装机制或签名二进制分布,(3) 所需环境变量/API密钥列表以及数据(记忆/导出)存储或传输位置,(4) 隐私/数据保留细节。如果必须测试,请在隔离沙盒中进行,并在执行前验证二进制文件的来源。优先选择提供清晰安装指令、可验证源和最小权限凭证要求的技能。...详细分析 ▾
⚠ 用途与能力
该技能宣称具有"echo-chat" CLI 和跨平台集成(ChatGPT、Gemini、点对点消息、导出),但包中没有二进制文件、安装步骤、源代码或主页,也没有声明所需环境变量。一个合法的 CLI/集成中心技能将包括安装规范,或者至少声明二进制文件和任何所需的 API 凭证。这些项目的缺失与声明的目的不一致。
⚠ 指令范围
SKILL.md 展示了本地 CLI 的使用示例(echo-chat start/peer/export),但未提供运行时细节关于记忆存储位置、如何传输导出内容以及使用的网络端点。指令模糊,给予代理或用户广泛的自由度来决定如何获取或运行 echo-chat 工具或处理用户数据 — 这种开放式指导可能导致意外操作(下载/执行未知二进制文件、联系外部服务或访问本地数据)。
ℹ 安装机制
没有安装规范(仅指令),从安装器角度看,这是低风险的。然而,由于 SKILL.md 期望存在一个 CLI,因此缺乏安装机制本身就是一个问题:它强制代理或用户从未指定的源获取二进制文件,这可能是不安全的。低安装风险分类仅适用于如果单独提供了可信的二进制文件。
⚠ 凭证需求
该技能声称与外部 AI 平台集成,并支持导出/点对点消息,但未声明任何 API 密钥、令牌或配置路径。真正的集成将需要凭证或配置;要求没有这些是不成比例的和无解释的。另外,导出和点对点功能意味着应指定和证明的网络/存储访问。
✓ 持久化与权限
该技能未设置为 always:true,不请求任何配置路径,并且不包含安装钩子。它没有请求在代理基础设施中获得高级持久存在。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/10
["删除了 criteria.md 和 dimensions.md(偏好标准和维度参考)。","更新了技能描述,重点强调基于记忆的、情感感知的对话。","添加了命令行使用指令,用于启动和导出 Echo Chat 会话。","列出了新功能,包括证据引用、情感感知语气和点对点消息传递。","移除了遗留的偏好学习系统,不再存储或引用用户通信偏好。"]
● 无害
安装命令 点击复制
官方npx clawhub@latest install chats
镜像加速npx clawhub@latest install chats --registry https://cn.clawhub-mirror.com
技能文档
基于记忆的对话式 AI,了解你。与一个基于你的个人记忆的代理聊天 — 响应是上下文感知的、情感感知的,并引用真实经历。Echo 的核心对话引擎。
用法
echo-chat start # 启动基于记忆的对话
echo-chat peer #_facilitate 点对点记忆聊天
echo-chat export # 导出带有记忆引用的对话
功能
- 基于记忆的响应,附有证据引用
- 情感感知语气匹配
- 支持点对点消息的共享记忆上下文
- 语音和文本模式
- 跨平台记忆集成 (ChatGPT, Gemini 等)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制