skill-python-env — Python 虚拟环境管理器
v1.0.0为其他技能提供共享的 Python 虚拟环境,按版本号管理,自动安装 uv,支持多技能复用同一环境。
0· 175·1 当前·1 累计
by 安全扫描
OpenClaw
安全
high confidence该技能的代码和指令与其声明的目的相符:创建按版本共享的 Python 虚拟环境,自动安装 uv 工具,并安装请求的包。内部逻辑一致,但存在网络安装器和共享环境的预期风险。
评估建议
该技能看似正常工作,但安装前请注意两个实践风险:(1) 自动从网络下载和执行 uv 安装器(通过 curl|sh 或 PowerShell irm|iex),请确认信任 https://astral.sh 或手动安装 uv 以避免远程执行风险;(2) 创建共享环境,恶意或受损的调用技能可能请求安装恶意 PyPI 包,影响其他技能。缓解方法:限制调用技能,使用固定包名/版本,审查包参数,或者禁用自动安装路径并手动安装 uv 和 Python。...详细分析 ▾
✓ 用途与能力
名称/描述指出:按版本管理共享 Python 环境并自动安装 uv。脚本和 SKILL.md 实现了这一点(创建 ~/.python_env/<version>,调用 uv venv,安装包)。没有不相关的凭据、二进制文件或配置路径被请求。
ℹ 指令范围
运行时指令和脚本仅操作用户主目录路径(~/.python_env 和 ~/.local/bin)、PATH 以及用于安装程序/Python 的网络下载。它们不读取其他系统文件或不相关的凭据。然而,调用方提供的包名被安装到共享环境中,这意味着一个技能可以导致任意包被安装,从而影响其他重用同一环境的技能。
ℹ 安装机制
没有包安装规格 — 脚本可能下载并执行来自 https://astral.sh (uv 上游) 的远程安装脚本(在 Unix 上使用 curl|sh,在 PowerShell 上使用 irm|iex)。对于 uv 来说,预期上游域,但将远程脚本管道到 shell/PowerShell 本质上是更高风险的行为,在允许自动安装之前应考虑这一点。
✓ 凭证需求
该技能不请求环境变量或凭据(适当)。一个实践风险:环境跨技能共享,因此安装包(包括未固定/第三方包)可以创建跨技能依赖/类型混淆风险 — 这是一个设计权衡,而不是不一致。
✓ 持久化与权限
该技能将持久文件写入用户主目录(~/.python_env,可能还有 ~/.local/bin),但不请求提升/系统范围的权限或使用 always:true。其持久性仅限于调用用户的配置文件,与其目的一致。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/31
skill-python-env 初始发布 — 内部 Python 虚拟环境管理器:提供其他技能重用的按版本共享环境,自动安装 uv,无需手动干预,包含 Shell 和 Python 脚本,完成后输出机器可读环境细节,不直接面向用户。
● Pending
安装命令 点击复制
官方npx clawhub@latest install skill-python-env
镜像加速npx clawhub@latest install skill-python-env --registry https://cn.clawhub-mirror.com
技能文档
skill-python-env > 内部工具技能 — 本技能不直接响应用户指令,由其他需要 Python 环境的技能在执行时调用。...(中间内容保持原文未翻译,仅示例)...
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制