by 安全扫描
OpenClaw
可疑
medium confidence该技能声称为通用代码生成器,但实际仅为 FastAPI 项目提供脚手架,忽略了声明的输入。安装前请了解这一不一致。
评估建议
技能名称和文档暗示其为灵活的代码生成器,但附带的 `run.py` 只生成 FastAPI 应用,写文件到 `/home/jason/.openclaw/workspace/generated/<project-name>`。安装前,请确认:(1) 是否仅期待 FastAPI 脚手架,(2) 确认文件写入路径是否可接受,(3) 先在安全沙盒中运行,(4) 在部署前检查生成的代码,(5) 注意脚本中可能的运行时 bug(从 `datetime` 导入 `UTC`)。建议请求作者提供修正后的、可配置的输出路径和对上下文/约束的使用说明。...详细分析 ▾
⚠ 用途与能力
技能描述和 SKILL.md 描述了一般的 '自动代码生成' 能力,伴随任务/上下文/约束。但提供的 `run.py` 只生成 FastAPI 项目脚手架(requirements.txt, README, app/main.py),主要使用 'task' 来命名项目。它不实现一般代码生成,也不超出命名范围尊重 '上下文'/'约束'。这种不匹配(通用营销 vs 单一目的实现)是不成比例的,未解释。
⚠ 指令范围
SKILL.md 简单,未记录文件系统效果或输出路径,但 `run.py` 将文件写入硬编码路径(/home/jason/.openclaw/workspace/generated/<name>)。指令未警告在该位置创建或覆盖文件。虽然这些操作仅限本地文件写入(无网络/凭据),但无声的文件系统写入和路径选择超出了 SKILL.md 的声明。
✓ 安装机制
无安装规范(仅指令技能加本地运行器脚本)。未声明下载、包安装或外部安装程序。这是较低风险的安装模式。
✓ 凭证需求
技能未声明所需环境变量或凭据,`run.py` 不访问环境秘密。这与观察到的功能成比例。注意:脚本使用绑定到特定用户名('jason')的硬编码文件系统路径,这是一种配置异常,但不是凭据请求。
✓ 持久化与权限
未请求 'always' 权限或提升持久性。技能在固定目录下写入文件到磁盘,受运行用户权限限制,这对于代码脚手架工具是正常的,但应明确记录。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/8
AI_CodeGenerator 1.0.0 – 初始发布 - 基于用户任务描述提供自动代码生成。 - 接受任务描述、可选上下文和约束作为输入。 - 根据任务要求生成计划、结果和执行日志。 - 包含任务分析、规划、执行、验证和摘要的工作流程。 - 包含安全措施避免破坏性操作,外部操作需要确认。 - 为审计性记录关键决策和错误。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install ai-codegenerator
镜像加速npx clawhub@latest install ai-codegenerator --registry https://cn.clawhub-mirror.com
技能文档
目的
自动程式生成主要代理
Coder备注
可单独使用输入
- task: 要执行的任务描述
- context: 额外上下文(可选)
- constraints: 限制条件(可选)
输出
- plan/result/report(依任务类型)
- logs/summary
工作流程(默认)
- 分析任务
- 计划子任务
- 按角色执行
- 验证结果
- 返回最终摘要
安全
- 不执行破坏性操作,除非明确授权
- 外部动作(发送、部署到正式环境)需二次确认
- 记录关键决策与错误
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制