by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码和文档基本符合其声明的目的,但存在多个不一致和懒惰的默认设置(硬编码的用户路径、不匹配的文件名、缺失的函数调用),在运行于真实数据前应谨慎处理。
评估建议
该技能似乎能完成其声明的功能(分析遗留代码并生成迁移/上下文文档),但包含懒惰的默认设置和漏洞。运行前:(1)本地检查包含的脚本并修复缺失的方法或其他错误;(2)不要直接对生产代码库运行——在隔离环境或副本中运行;(3)覆盖默认的baseDir(/Users/admin/...)到安全的工作空间以避免意外文件写入;(4)注意输出可能包括源代码的敏感数据——将输出视为秘密并适当存储;(5)确保所需的外部工具(ai-plan-generator、clawteam)和Node.js是故意使用且可信任的。如果您无法检查或沙盒化代码,请谨慎对待此包。...详细分析 ▾
ℹ 用途与能力
名称、README、SKILL.md和包含的脚本(integrator、converter、process-file-manager)与遗留代码分析->生成迁移/上下文文档工作流一致。然而,integrator期望以'zbs_php_'为前缀的特定文件名,并且默认业务域被硬编码为'finance',这没有理由地限制了其适用性。_meta.json版本(2.4.0)与注册表版本(2.5.0)不同——一个小的元数据不一致。
⚠ 指令范围
运行时指令要求代理读取完整的源代码树并产生许多本地工件(对于此工具是预期的)。脚本在磁盘上创建和写入文件,ProcessFileManager具有硬编码的默认baseDir(/Users/admin/.openclaw/workspace),这在那里创建文件夹和文件,令人惊讶且平台特定。SKILL.md还引用了未包含的外部CLI工具(ai-plan-generator、clawteam);convert脚本调用integrator.generateValidationStandards(),但该方法在integrator中未定义——这是在执行期间可能引起错误的运行时错误。没有指令请求秘密,但如果分析的源代码中存在,则输出可能包含敏感的业务代码和凭据(因此,执行最小特权原则很重要)。
✓ 安装机制
没有安装规格(仅指令技能),因此平台不会自动下载或安装任何内容。包含的Node.js脚本存在,但仅当用户或代理执行它们时才会运行。这比远程下载的风险较低,但本地执行仍会写入文件。
ℹ 凭证需求
该技能声明没有所需的环境变量或凭据(良好)。然而,它假设Node.js运行时(README注明Node.js v14+)和对遗留代码库的本地文件系统访问——这对于其目的是预期的。integrator生成集成配置(数据库、redis、enterprise_wechat),这可能意味着下游需要进一步的凭据,但这里没有声明。
⚠ 持久化与权限
该技能不设置always:true,也不请求平台范围的权限。然而,其ProcessFileManager默认写入硬编码的用户路径(/Users/admin/.openclaw/workspace),并且如果执行,将在那里创建项目目录和文件——这种持久的文件活动令人惊讶,如果不检查路径而运行,可能会污染或覆盖用户工作空间。该技能不修改其他技能的配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.5.02026/3/24
添加了统一目录结构支持和转换脚本的AI计划生成器集成
● 无害
安装命令 点击复制
官方npx clawhub@latest install code-archaeology
镜像加速npx clawhub@latest install code-archaeology --registry https://cn.clawhub-mirror.com
技能文档
简介
分析遗留代码库,提取业务规则、技术规范和迁移要求。支持PHP、Java、Python等。使用场景
- 了解和转换旧系统
- 提取遗留代码中的业务逻辑和技术规格
指令
- 下载技能
- 在隔离环境中运行脚本
- 检查和修复潜在错误
# 代码块示例(保留原文,不翻译)
node integrator.js
注意
- 确保Node.js环境(v14+)
- 检查默认路径以避免文件写入冲突
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制