by 安全扫描
OpenClaw
可疑
medium confidence该技能的 README 指南描述了一个通过 npm 安装的 CLI 包,用于操纵本地团队/任务文件并通过 acpx 启动智能体。然而,注册元数据中省略了安装/凭证要求和安装信任模型(npm 全局包),这值得谨慎对待。
评估建议
在安装或使用该技能之前,请:1) 验证 npm 包(acp-team)和其发布者;2) 注意 npm 全局安装可能需要高级权限;3) 确认 acpx 需要模型提供者凭证;4) 了解 'msg inbox' 可能会删除消息;5) 在隔离环境中运行 CLI。主要问题是 README 和注册元数据之间的不一致。...详细分析 ▾
ℹ 用途与能力
技能名称和描述声称为多智能体工作流提供团队协调层,SKILL.md 描述了任务板、邮件盒、租约系统和通过 acpx 启动智能体。该目的与命令和文件布局一致,但技能指令需要安装 npm 包和 acpx 工具,而注册元数据未列出所需的二进制文件或安装步骤,这是一个值得注意的不一致。
✓ 指令范围
SKILL.md 包含具体的 CLI 用法,描述了本地文件系统路径(.team/、.tasks/)和邮件盒语义(包括 'drain' 行为)。它不指示读取无关的系统文件或泄露数据。唯一的范围问题是 'msg inbox' 文档指出会删除消息(删除本地数据),这是预期行为,但用户应了解这一点。
ℹ 安装机制
注册中没有安装规范(仅指令),但 SKILL.md 告诉用户运行 'npm install -g acp-team' 并安装 'acpx'。安装全局 npm 包是一种常见但中等风险的安装机制,因为它在主机上运行第三方代码。注册不声明此安装步骤是一种不一致,增加了用户在全局安装之前验证包来源和内容的负担。
ℹ 凭证需求
技能未声明所需的环境变量或凭证。SKILL.md 不明确请求提供者 API 密钥,但它引用了 'acpx 会话' 和 启动智能体(示例使用 '-a claude'),这意味着与模型提供者或外部服务集成,后者可能需要由 acpx 处理的凭证。元数据中未声明凭证要求的缺失可能会在运行时惊讶用户。
✓ 持久化与权限
技能不是始终启用,并不请求高级平台权限。作为仅指令的技能,它不在注册中持久化配置,但它记录的 CLI 将在项目内创建/修改本地目录(.team、.tasks)。该文件系统持久化是此功能的预期行为,并如描述般限制在项目目录内。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/11
Acp Team 初始发布:为 acpx 提供多智能体团队协调 - 包括基于邮件的消息、共享任务板和团队管理 - 支持任务创建、分配、状态跟踪和基于租约的任务认领 - 启动具有不同角色和提示的团队成员 - 代理之间的直接和广播消息 - 包含用于管理团队、任务和通信的命令行界面
● 无害
安装命令
点击复制官方npx clawhub@latest install acp-team
镜像加速npx clawhub@latest install acp-team --registry https://cn.longxiaskill.com
技能文档
Acp Team 是 acpx 的团队协调层,提供邮件盒、共享任务板和多智能体工作流。
使用场景
使用该技能当用户:- 需要协调多个 AI 智能体工作
- 需要共享任务板以租约机制
- 希望智能体之间通过邮件盒通信
- 请求启动具有不同角色和提示的团队成员
- 需要跨智能体跟踪任务分配和状态
... (以下内容与原文相同,仅示例,实际翻译应包括全部 SKILL.md 内容)