by 安全扫描
OpenClaw
安全
high confidence该技能仅作为 GitHub 代码搜索助手,其需求与说明均与既定目的一致,不会索取无关凭据或安装代码。
评估建议
这是一个仅用于指令的 GitHub 代码搜索助手,内部逻辑一致。它执行网页搜索并解析 GitHub 结果——默认不请求任何文件或机密。如果你或你的代理选择启用可选的 GitHub API 调用,可能需要提供 GitHub token;仅授予最小必要权限,并注意其存储位置。此外,该技能引用上游仓库(claude-night-market/tome);若来源可信性重要,请在安装前审查该上游项目。...详细分析 ▾
✓ 用途与能力
名称/描述(在 GitHub 搜索实现)与说明一致:构建搜索查询、运行网页搜索、解析并排序 GitHub 结果,并可选择调用 GitHub API。该技能未要求无关的环境变量、二进制文件或安装步骤。(小注:SKILL.md 列出的上游项目与注册项中的内部版本号不同,这是来源/元数据不一致,而非安全不匹配。)
✓ 指令范围
SKILL.md 仅指示智能体构建查询、运行 WebSearch、解析结果、可选地使用 GitHub API 获取更丰富的元数据、对发现进行排序并返回结果。它并未指示智能体读取本地文件、其他环境变量、系统路径,或将数据发送到非预期端点。
✓ 安装机制
没有安装规范,也没有代码文件 —— 这仅是指令。技能本身不会下载或写入任何内容到磁盘,因此安装风险极低。
ℹ 凭证需求
该 skill 未声明任何必需的环境变量,这与基于网页搜索的 GitHub 查询相符。然而,SKILL.md 提到可“选”使用 GitHub API;实际使用时通常需提供 GitHub token。该 skill 并未预先声明或请求此类凭据,因此若 agent 或用户后续提供 token,请注意其权限范围与暴露风险。
✓ 持久化与权限
always:false(默认),且未请求任何特殊持久化或跨技能配置更改。允许自主调用(平台默认),但该技能本身没有任何提升或持久权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
- 代码搜索技能的首次发布。 - 支持在 GitHub 上搜索与指定主题相关的代码示例、库和实现模式。 - 适用于研究会话或作为独立搜索工具。 - 不适用于搜索本地代码或学术论文。 - 支持查询构建、结果解析、可选 GitHub API 使用及结果排序。
● 无害
安装命令
点击复制官方npx clawhub@latest install nm-tome-code-search
镜像加速npx clawhub@latest install nm-tome-code-search --registry https://cn.longxiaskill.com
技能文档
Night Market Skill — 移植自 claude-night-market/tome。
如需完整体验(agents、hooks、commands),请安装 Claude Code 插件。
# Code Search
何时使用
- 在 GitHub 上查找现有实现或库
- 作为
/tome:research会话的一部分,或独立搜索
何时不用
- 搜索本地代码库(请用 Grep 或 Explore agent)
- 学术文献(请用
/tome:papers)
在 GitHub 上搜索指定主题的实现。
用法
作为/tome:research 的一部分调用,或独立使用。 工作流
- 用
tome.channels.github.build_github_search_queries()构建搜索查询 - 通过 WebSearch 执行查询
- 用
parse_github_result()解析结果 - 可选:用
build_github_api_search()调用 GitHub API 获取更丰富的元数据 - 用
rank_github_findings()排序 - 返回 Finding 对象