📦 Openclaw
v1.0.0健康、评估与回归系统,用于持续改进 OpenClaw 技能。在创建、审计或维护 AgentSkills 时使用,确保质量……
0· 7·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能基本实现了描述的功能(本地健康检查与路由评估),但存在多处不一致和危险的默认设置——特别是硬编码了另一用户主目录的绝对路径、扫描 agent 转录文件系统,以及脚本路径不一致——请在真实数据上运行前务必审查。
评估建议
此包似乎实现了一个本地健康检查与路由评估系统,并附带可运行的 Node.js 脚本——但在真实工作区运行前请审查并测试。使用前重点检查:
- 本地查看脚本(已包含),确认其使用路径。脚本默认路径如 /Users/m1/.openclaw/workspace、/Users/m1/.openclaw/agents、/Users/m1/.npm-global/... —— 改为指向安全测试工作区,或在运行时显式传入工作区路径。
- 了解数据访问:工具会扫描 SKILL.md 文件,并读取 .jsonl agent transcripts 的最近行以推断“最近使用”信号。若转录含 PII 或密钥,请在已清理或隔离的副本上运行脚本。
- 解决路径不一致:README/SKILL.md 示例运行 'node scripts/...',但某些脚本(daily heartbeat、routing eval)会在 workspaceRoot/skills/openclaw-self-improvement 下查找资源。若要运行打包脚本,请将其放到脚本预期位置,或更新脚本内路径以匹配你的目录结...详细分析 ▾
ℹ 用途与能力
声明的用途(skill health、routing evals、heartbeat)与所包含的脚本及输出一致:代码扫描 SKILL.md 文件,运行评估用例并生成报告。然而,这些脚本假定并访问了额外的系统路径(如 /Users/m1/.openclaw/workspace、/Users/m1/.openclaw/agents、/Users/m1/.npm-global/...),这些路径在 SKILL.md 中未作说明,且似乎仅适用于开发者的本地环境——这种不一致可能导致工具扫描主机上的非预期文件。
⚠ 指令范围
SKILL.md 中的运行时说明与示例命令基本合理,但脚本实际行为比示例所示更广:它们会递归扫描全局系统技能,并读取 agent 会话转录文件(.jsonl)以推断使用信号。读取转录符合使用追踪目标,但数据敏感(可能含 PII 或密钥)。此外,多处路径假设不一致(示例用 `node scripts/…`,而部分脚本却尝试读取 `workspaceRoot/skills/openclaw-self-improvement` 下的文件),易引发意外或令人困惑的行为。
✓ 安装机制
无安装规范或外部下载,仅包含指令与脚本。所有代码均已置于仓库内(无网络拉取或归档解压)。风险低于任意安装器。
⚠ 凭证需求
该 skill 不请求环境变量或凭据,这是合适的。然而,它默认访问本地 agent 会话文件和系统 skill 目录(/Users/m1 下的硬编码路径)。访问 transcripts 和全局 node_modules 属于敏感操作,应由用户明确配置并说明理由,而非由脚本默认假设。
ℹ 持久化与权限
该 skill 未请求 'always:true',也不会修改其他 skill 的配置。它会在提供的 workspace(.learnings/)下写入报告,符合预期。主要的持久化/权限问题在于:若默认路径存在,它会读取本地 agent transcript 目录(敏感)及系统 skill 目录。
⚠ scripts/daily-health-heartbeat.mjs:16
检测到 Shell 命令执行 (child_process)
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/24
OpenClaw 技能自我改进系统首次发布。 - 新增重复、失效与陈旧技能的自动健康检查。 - 引入路由评估,验证技能触发准确性。 - 提供每日心跳自动化,附带历史与汇总输出。 - 生成人类可读报告及推荐操作。 - 提供 CLI 脚本,支持手动或定时运行。
● 可疑
安装命令
点击复制官方npx clawhub@latest install openclaw-skill-self-improvement
镜像加速npx clawhub@latest install openclaw-skill-self-improvement --registry https://cn.longxiaskill.com