by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码和指令与本地日志分析工具内部一致,但元数据不匹配且缺少来源信息,足以引发担忧,安装前需谨慎。
评估建议
该 skill 似乎实现了一个本地日志分析引擎,无外部网络调用或密钥访问,与其描述一致。但软件包元数据不一致(registry 的 owner/slug/version 与嵌入的 _meta.json 不符,且 skill 发布时无主页或已知源码)。安装前:(1) 验证完整未截断的 handler.ts 源码,确认无隐藏网络或文件系统操作;(2) 确认发布者身份(owner ID),或优先选择有可审计仓库/主页的 skill;(3) 先在隔离/测试环境中运行,并仅提供非敏感日志进行初步评估。若需更高保障,请要求已签名的发布版本或由第三方对完整 handler.ts 进行代码审查。...详细分析 ▾
ℹ 用途与能力
该 skill 声称是本地、确定性的日志分析/演化工具,handler.ts 实现的 analyze/evolve/status 逻辑仅依赖日志输入,符合其宣称目的。然而,registry 元数据(owner/slug/version)与包内嵌的 _meta.json 不符,已发布的 skill 被标记为“...-bak”,而内部元数据却指向“capability-evolver-pro”。这种来源/打包不一致,对简单的本地 skill 而言并不寻常。
✓ 指令范围
SKILL.md 指示代理对用户提供的日志运行本地分析,示例仅展示本地数据流。运行时指令不会要求代理读取无关的系统文件、环境变量或访问外部端点。
✓ 安装机制
无安装规范(仅指令型技能),未安装任何二进制文件。该技能包含本地 TypeScript 处理代码;无任何迹象表明从外部 URL 下载或解压归档。
✓ 凭证需求
该 skill 未声明必需的环境变量、凭据或配置路径,代码也未引用环境密钥。所请求的访问权限与其声明的任务(接收日志作为输入)相称。
ℹ 持久化与权限
always:false 与常规自主调用设置——技能预期行为。所提供代码段未尝试修改其他技能或系统级设置。注意:因来源不明,若代码别处存在隐藏行为,授予自主调用将提升风险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
Capability Evolver 1.0.0 — 初始版本 - 引入确定性、完全本地的元技能,用于智能体自我改进与系统健康监控。 - 分析运行时日志,检测错误模式、回退与低效点;生成可复现的改进方案。 - 支持 analyze、evolve、status 三种操作,实现定向诊断与路线图生成。 - 无外部依赖、LLM、API key 或网络流量;确保快速、私密、零成本运行。 - 提供详尽指南与代码示例,便于集成 OpenClaw、LangChain 及自定义仪表盘。 - 覆盖真实场景:事件响应、持续改进、上线前检查、多智能体集群诊断。
● 无害
安装命令
点击复制官方npx clawhub@latest install capability-evolver-pro-bak
镜像加速npx clawhub@latest install capability-evolver-pro-bak --registry https://cn.longxiaskill.com