by 安全扫描
OpenClaw
可疑
high confidence技能描述(自动供应商备份)合理,但运行指令引用了未提供或声明的外部脚本、凭证和行为,导致包内部不一致,使用前需进一步审查。
评估建议
["使用前,请向发布者请求实际脚本(`scripts/acp-fallback.sh` 和任何辅助脚本)和安装程序;","要求明确列出所有环境变量/API 密钥及其使用方式;","检查实现中网络端点和任何传输日志或秘密的代码;","谨慎替换全局 `acpx` 调用,确保可以选择不使用或恢复;","在能够审计脚本之前,避免提供凭证。当前包不完整,不应在未得到这些澄清之前运行。"]...详细分析 ▾
⚠ 用途与能力
SKILL.md 声称自动在多个 ACP 供应商(codex、claude、pi、direct-api)之间切换。但技能包中没有代码、没有辅助脚本,也没有声明的凭证。实现多供应商调用通常需要供应商特定的凭证、SDK/CLI 或提供的脚本 —— 都没有提供或请求。这种不匹配表明缺少部分内容或包装不完整。
⚠ 指令范围
指令告诉代理执行 `source scripts/acp-fallback.sh`,用 `acp_exec` 替换直接 `acpx` 调用,并记录日志到 `logs/acp-fallback.log`。由于没有提供脚本或安装步骤,这些运行时指令无法直接执行。文档还引用了模型和供应商名称(MiniMax、DeepSeek、OpenAI、GLM-5 等),这意味着外部凭证或 API,但从未指示如何获取或存储这些秘密。
ℹ 安装机制
没有安装规范(仅指令)。这本身风险较低,但 SKILL.md 明确期望本地脚本 `scripts/acp-fallback.sh` 存在并被执行;没有安装步骤来放置该文件,技能就不完整。缺乏安装机制,防止了验证实际运行的内容。
⚠ 凭证需求
元数据未声明任何所需的环境变量或凭证,但所描述的功能(调用 Codex、Claude、Pi、OpenClaw 的 API、OpenAI 等)通常需要 API 密钥/令牌。任何声明的秘密的省略与声称的跨供应商行为不成比例,这是一种不一致,应在使用前解决。
✓ 持久化与权限
技能不请求 `always:true`,也不请求提升的平台权限。它建议将备份日志写入磁盘上的 `logs/acp-fallback.log`,这是一个有限的持久性操作,但本身不具有特权。没有证据表明它修改了其他技能或全局代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/21
修复了代理集成指令中的小型拼写错误:为提高清晰度,改用 `acp_exec "..."`。技能本身无功能或行为变化。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install acp-fallback
镜像加速npx clawhub@latest install acp-fallback --registry https://cn.clawhub-mirror.com
技能文档
自动以优先顺序(codex、claude、pi、API)重试 ACP 供应商,失败后返回首个成功结果并记录备份日志。
用法
- 执行
source scripts/acp-fallback.sh - 用
acp_exec替换直接acpx调用 - 日志记录到
logs/acp-fallback.log
注意
- 请确保理解并审查所有依赖脚本
- 在生产环境中使用前,确保测试完整性
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制