📦 Ai — AI
v1.0.1公司翻译器 Fr 1.0.1 AI 公司执行层翻译代理 —— 法语(FR)。将 SKILL.md 及文档文件翻译为专业法语。由 CMO 所有;质量超...
0· 12·0 当前·0 累计
by 下载技能包
最后更新
2026/4/22
安全扫描
OpenClaw
可疑
medium confidence该技能声称的目的(将 SKILL.md 和文档翻译成法语)看似合理,且与说明大体一致,但存在若干不一致之处和过度宽泛的能力(使用绝对路径、宽泛的跨技能依赖、以及 MCP 会话 spawn/send 权限),安装前需谨慎。
评估建议
安装前请确认以下事项:
- 确认 skill 仅接受 workspace-relative 路径(不接受任意绝对路径)。若允许绝对路径,必须强制启用 'read workspace' 作用域,并拒绝任何超出 workspace 的路径。
- 询问发布者为何需要 'sessions_send' 和 'sessions_spawn' MCP 权限;如仅用于审计/通知,请要求采用更受限的机制或增加显式审批步骤。
- 验证冗长依赖列表(hq、registry、ciso、cqo 等)的必要性,要求提供理由或仅保留严格必需的依赖。
- 先用非敏感样本文件测试 skill,确认其不会读写意外位置,且审计告警行为与文档一致。
- 确保路径穿越防护由服务端强制执行(而非仅在指导文本中),且 skill 无法被用于翻译 workspace 外文件或访问凭据/PII。
若上述问题未得到满意解决,视该 skill 为高风险,避免在敏感环境安装。...详细分析 ▾
⚠ 用途与能力
该技能声称仅操作 SKILL.md 和文档,权限为工作区读写,但其接口却要求绝对 source-file 路径。请求绝对路径可指向工作区外,与声明的“读工作区/写工作区”权限不符。依赖列表包含许多看似无关的内部技能(hq、registry、audit、standardization、cmo、ciso 等),在企业集成场景下合理,但对简单翻译器而言范围过广。
⚠ 指令范围
SKILL.md 指示 agent 读取源文件并写出翻译结果,同时记录/审计操作,该范围合理。但要求绝对源文件路径并对“路径遍历尝试”显式报错,意味着技能可能接受指向任意文件系统位置的输入。指令还提到“alert CISO”与审计日志;这些动作可能借助其他平台能力(mcp 或其他技能)完成,尽管网络已禁用。
✓ 安装机制
无安装规范、无代码文件——仅基于指令的 Skill。这是安装风险最低的方式,因为安装器不会下载或写入任何内容到磁盘。
ℹ 凭证需求
该 skill 不请求环境变量或凭据,比例适当。然而,其声明的 skill 依赖数量偏高:关联大量治理类 skill(ciso、cqo、cmo、audit、registry)对企业级翻译工作流或许合理,但会扩大攻击面,平台所有者应予以说明。
⚠ 持久化与权限
always 为 false(好),但该 skill 请求 MCP 权限 'sessions_send' 与 'sessions_spawn'。这些能力允许 skill 向其他会话/skill 发起或发送消息——权限高于普通读写翻译器所需。结合绝对路径问题与宽泛依赖,增加了意外行为(通知、生成辅助会话或调用其他 skill)的风险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/22
P2 安全修复:添加 os.normpath() 路径规范化;RU/FR 补充缺失的 validate_path 函数;将 CISO 的 conditional-pass 升级为 pass
● 无害
安装命令
点击复制官方npx clawhub@latest install ai-company-translator-fr-1-0-1
镜像加速npx clawhub@latest install ai-company-translator-fr-1-0-1 --registry https://cn.longxiaskill.com
技能文档
代理角色:执行层 —— 法语翻译(EXEC-TR-FR)
归属:CMO(主)| CQO(质量监管)| CISO(安全监管)
风险等级:中等 | CVSS 目标:<7.0 | 质量门:G2 | 已标准化:是
**语言