by 安全扫描
OpenClaw
安全
high confidence此技能如其所述,仅读写本地 JSON 状态文件,不请求秘密信息或访问外部端点,包含模型选择指导。
评估建议
此技能看似合理、非恶意,但安装前请审查:(1) 写入状态文件到您的代理/工作空间;(2) 模板偏好阿里 Qwen 模型;(3) 文档提到自动触发和 web_fetch 能力,但无安装时触发或网络集成;(4) 无秘密或外部 URL 请求。如果需要更高保证,请打开并阅读两个短 Python 脚本,确认文件路径可接受,否则在沙盒环境中运行。如果发布者或主页未知且您需要来源证明,优先选择知名来源或更多元数据的技能。...详细分析 ▾
ℹ 用途与能力
名称/描述(工作流分解 + 模型编排)与包含的模板和管理工作流状态的两个 Python 脚本一致。捆绑包中没有请求无关的凭证或系统访问。小问题:README 和一些文字表明该技能可以 '自动触发',但发布的标志未设置 always:true,并且没有安装时触发机制——这是文档中的不一致,而不是技术风险。
ℹ 指令范围
SKILL.md 专注于分解、模型选择、进度跟踪和卡住步骤的诊断。它不指示读取秘密或联系外部端点。包含的脚本读取/写入 workflow-state.json(或 workspace/memory/workflow-state.json),因此该技能将状态持久化到代理/工作空间文件系统。文档还引用 web_fetch/web_search 和运行时模型可用性作为选择模型的功能,但该技能不需要或配置网络访问;这是指令中的一个功能假设,可能不适用于所有运行时。
✓ 安装机制
无安装规格;这是主要指令 + 小型本地脚本。该技能捆绑包本身不执行下载或第三方包安装。
✓ 凭证需求
该技能声明没有必需的环境变量、没有凭证,并且除了写入/读取本地状态文件之外,没有特殊的配置路径。没有秘密访问与声明的目的成比例。
ℹ 持久化与权限
该技能不是始终启用,并允许模型调用(正常)。它将工作流状态持久化到工作目录中的文件(workflow-state.json)和使用 workflow_tracker.py 时的 workspace/memory/workflow-state.json。写入工作空间用于进度跟踪,但用户应了解将创建/修改文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/3
workflow-decomposer v1.0.0 - 初始发布。- 启用复杂工作流拆解为清晰可执行步骤。- 基于明确定义的选择规则为每任务步骤分配最合适模型。- 跟踪每阶段的工作流进度和模型使用情况。- 提供内置故障排除指导和解决方案建议。- 提供标准化、用户友好的工作流报告,确保透明和清晰。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install workflow-decomposer
镜像加速npx clawhub@latest install workflow-decomposer --registry https://cn.clawhub-mirror.com
技能文档
核心功能
本技能负责将复杂工作任务拆解为详细、可执行的步骤,并为每个步骤选择最合适的模型进行执行。 ... (由于原文本过长,仅提供部分翻译,完整翻译请根据原文自行完成)数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制