Cross-Agent Memory Sharing — 跨Agent记忆共享
v1.0.0启用多个Agent共享、合并和同步记忆,使用标准化格式、优先级规则和基于Git的版本控制实现集体智能。
0· 606·3 当前·3 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码和指令大多符合其声明的目标(基于Git的记忆共享),但包括未解释的默认行为和设置——特别是克隆/推送到作者控制的GitHub仓库和读取/写入工作空间文件——没有声明所需的凭据或使该外部仓库显式,这可能导致意外的数据外泄。
评估建议
["在安装或运行该技能之前:","1) 将默认远程仓库视为不可信任——更改 `SHARED_MEMORY_REPO` 为您控制的仓库,或者通过环境变量显式设置,以避免将内容推送到作者的仓库。","2) 了解将要上传的内容:脚本读取 `WORKSPACE/MEMORY.md` 并将提交/推送 `WORKSPACE/.shared-memory` 下的文件;不要在包含敏感数据的工作空间中运行它。","3) 安全提供和管理Git凭据(SSH密钥或个人访问令牌),不要以明文存储广泛的令牌;当前该技能没有声明或记录凭据处理。","4) 注意 `SKILL.md` 引用的合并冲突脚本(`merge-conflicts.mjs`)缺失——请作者提供缺失的文件或自行审查/实现冲突解决。","5)逐行审查 `sync.mjs` 源代码(它使用 `execSync` 运行Git命令),并首先在沙盒环境中运行。如果需要此功能,建议在自己的组织中托管共享仓库,并要求显式配置步骤以禁止默认使用外部作者控制的端点。"]...详细分析 ▾
ℹ 用途与能力
技能的名称/描述(跨Agent记忆共享)与提供的 `SKILL.md` 和 `sync.mjs` 一致,后者实现了基于Git的共享和本地导入/导出。然而,默认的 `SHARED_MEMORY_REPO` 是一个个人GitHub URL(https://github.com/weidadong2359/agent-memory-shared.git),它被硬编码到代码中,尽管元数据中没有声明任何仓库或凭据。默认使用外部、作者控制的仓库是意外的,与声明的要求不成比例。
⚠ 指令范围
`SKILL.md` 显示推送/拉取/订阅示例和基于Git的工作流;`sync.mjs` 实际上克隆一个仓库到 `WORKSPACE/.shared-memory`,读取 `WORKSPACE/MEMORY.md`,写入每个Agent的记忆文件,提交并推送。这种行为可以将本地工作空间内容传输到远程仓库。`SKILL.md` 引用一个自动合并脚本(`node skills/cross-agent-memory/merge-conflicts.mjs`),但该脚本不在包中——这是一个不一致。`README` 的示例也指向外部端点(`memory-hub.example.com`)并要求令牌,但没有声明或记录将使用哪些凭据或环境变量。
✓ 安装机制
没有安装规范;这是一个仅有指令的技能,附带一个小的Node脚本。技能本身在安装期间没有下载任何内容。运行时通过 `child_process execSync` 调用系统Git,这是因为使用了基于Git的方法。
⚠ 凭证需求
`package` 和 `SKILL.md` 没有声明所需的环境变量,但 `sync.mjs` 从环境中读取 `OPENCLAW_WORKSPACE`、`SHARED_MEMORY_REPO` 和 `AGENT_ID`,并默认 `SHARED_MEMORY_REPO` 为作者的GitHub仓库。该技能隐式要求Git凭据(例如SSH密钥、Git凭据助手或GH令牌)来推送;这些凭据既没有被声明也没有被解释。请求远程仓库的写入访问是一种高影响力的能力,应该是显式的,并且仅限于用户控制的端点。
ℹ 持久化与权限
始终为 `false`,禁用模型调用为 `false`(正常)。脚本在工作空间中写入一个 `.shared-memory` 目录并创建每个Agent的文件,这是为了其目的而预期的,但这意味着它将在磁盘上持久化同步的数据。它不会修改其他技能或系统范围的配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/1
初始版本:跨Agent记忆共享协议,基于Git的多Agent知识共享方案
● 可疑
安装命令 点击复制
官方npx clawhub@latest install cross-agent-memory
镜像加速npx clawhub@latest install cross-agent-memory --registry https://cn.clawhub-mirror.com
技能文档
功能描述
启用多个Agent共享、合并和同步记忆,使用标准化格式、优先级规则和基于Git的版本控制实现集体智能。使用指南
- 配置环境变量
SHARED_MEMORY_REPO为您控制的仓库。 - 了解脚本读取和写入的文件路径。
- 安全提供Git凭据。
# 代码块(保持不变)
// 示例代码,不进行翻译
const git = require('simple-git');
...
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制