by 安全扫描
OpenClaw
可疑
medium confidence这些指令符合多源研究目的,但假设本地存在 Python 的 'tome' 包、可运行 Python 代码并写入会话文件,以及使用 'Agent' 工具;而技能元数据声明无需任何二进制文件或安装——这种不匹配可能导致意外行为或隐藏依赖。
评估建议
该技能的流程与其描述相符,但 SKILL.md 默认你已具备 Python 运行时、本地提供诸多模块的 tome 包,以及名为 Agent 的调度工具——这些在元数据中均未声明。安装/使用前请:(1) 确认你的 agent/运行时提供 tome 包和 Agent 工具,或添加显式安装步骤;(2) 注意技能会在当前工作目录写入会话文件(docs/research/...),请在合适或隔离的工作区运行;(3) 若不希望自动写盘,可请求 dry-run 或修改保存路径;(4) 技能不会索要凭据,但未声明的依赖可能导致静默失败——请先验证前置条件。我持中等信心,因问题看似遗漏/假设而非明显恶意;若提供运行时依赖列表或安装规范,信心可升至良性。...详细分析 ▾
ℹ 用途与能力
SKILL.md 的工作流程(领域分类、调度 code/discourse/academic agents、综合发现、保存报告)与声明的多源研究目的相符。然而,指令假定存在一个名为 tome 的本地 Python 包(如 tome.scripts.*、tome.session、tome.synthesis、tome.output 等模块)以及一个用于并行调度 agents 的“Agent”工具;这些运行时依赖未在技能元数据中声明。
ℹ 指令范围
说明中包含可执行的 Python 代码片段,使用 Path.cwd() 创建 SessionManager,并将报告保存到 docs/research/{session.id}-{slug}.md。这需要文件系统写入权限以及具备所引用模块的 Python 运行时。SKILL.md 并未指示进行数据外泄或访问无关凭据,但它假定可以访问本地项目文件并能够持久化会话状态。
✓ 安装机制
此为纯指令模式,无安装规范与代码文件,故无安装器风险。但因缺少安装步骤,SKILL.md 所需的 Python 模块与工具必须已存在于运行时;元数据未说明如何获取它们。
ℹ 凭证需求
该技能未请求任何环境变量或凭据,这是合理的。然而,它隐式依赖文件系统访问以及包含 'tome' 包和 'Agent' 工具的 Python 环境;这些隐式需求未被声明,用户应留意此遗漏。
✓ 持久化与权限
always:false 且未安装任何钩子。该技能指示将会话状态保存到本地 docs/research/ 路径(其自身工作区),这是研究编排器的合理行为,未请求提升平台权限,也未尝试修改其他技能。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
Research 技能通过结构化智能体协同与合成,统筹多源调研。 - 运行会话工作流:领域分类、研究规划、并行智能体分派、合成与报告。 - 支持 code、discourse、academic 与 TRIZ 通道;始终启用 code/discourse,按需追加其余。 - 自动合并并排序各源发现,输出格式化报告。 - 提供错误处理:部分结果持久化,空合成清晰报告,若全部智能体失败建议手动回退。 - 保存全部研究状态与结果;输出格式可定制(完整报告、简报或转录)。 - 向用户推送摘要及下一步研究建议。
● Pending
安装命令
点击复制官方npx clawhub@latest install nm-tome-research
镜像加速npx clawhub@latest install nm-tome-research --registry https://cn.longxiaskill.com