📦 Baidu — 百度
v1.0.0使用 trans-cli 通过 Baidu AI Translation API 翻译文本,支持百度专用语言代码、API 密钥管理、错误处理及环境诊断。
1· 27·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
high confidence该技能的指令与其翻译目的相符,但 manifest 与 SKILL.md 在所需二进制文件、安装步骤及配置路径上存在冲突,安装或运行前需谨慎。
评估建议
该技能的功能如描述所示(为百度翻译封装 trans-cli),但 SKILL.md 与 registry manifest 存在不一致,安装前请解决:
1) 确认 trans 二进制依赖,以及技能是否打算通过 npm 安装 @bdtrans/trans-cli。
2) 核实 npm 包名(@bdtrans/trans-cli),并检查其源码仓库与 npm 页面是否可信(所有者、下载量、近期发布)。
3) 注意必须提供 Baidu TRANS_API_KEY,或写入 ~/.trans-cli/config.json;保存密钥前检查该文件权限与内容。
4) 建议自行安装 trans-cli 或审查包代码,而非盲目执行技能的安装步骤。
5) 如需确保无误,请要求技能作者修正 manifest,使所需环境变量、二进制及安装步骤声明一致。...详细分析 ▾
ℹ 用途与能力
SKILL.md 描述了一个使用 trans-cli 调用百度翻译 API 的翻译助手——该目的与所描述的操作(trans text、trans doctor、trans config)一致。然而,顶层 registry 的 metadata/manifest 声明无需任何二进制文件或配置路径,而 SKILL.md 的元数据却明确声明了 trans 二进制及需 npm install @bdtrans/trans-cli。这一不一致出乎意料,应由作者解决。
✓ 指令范围
运行时指令严格限定于运行 trans-cli 命令、解析其 JSON 输出、通过 `trans doctor` 诊断,以及读写 trans-cli 配置(~/.trans-cli/config.json)或 TRANS_API_KEY。该技能不会指示收集与 API 密钥和配置文件无关的文件或机密,并明确声明代理无法为用户获取该密钥。
ℹ 安装机制
SKILL.md 中的元数据表明需要执行 npm install @bdtrans/trans-cli(一个公开的 npm 包),这是一种合理的安装方式。但注册表级别的安装规范却显示缺失——这是另一处不一致。从公开 npm 包安装属于中等风险(需验证包来源与出处);说明中未出现高风险的直接下载 URL。
⚠ 凭证需求
该技能需 API key(TRANS_API_KEY 或配置文件字段 api_key)方可运行,详见 SKILL.md。然而顶层 manifest 未声明任何必需环境变量或配置路径。所申请的凭据(Baidu API key)与所述用途相称,但 manifest 与元数据不一致,存在风险:技能可能默认使用 ~/.trans-cli/config.json 与 TRANS_API_KEY,而 registry 并未声明。
✓ 持久化与权限
该技能并未请求 always:true 或任何特殊持久权限。它说明了如何将 API 密钥写入 trans-cli 配置,但明确指出代理无法执行开发者门户步骤——未出现意外的自主权限提升。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
- baidu-text-translate skill 初始版本发布 - 通过 trans-cli 工具调用 Baidu Translation AI API 实现文本翻译 - 支持 JSON 输出、Baidu 专用语言代码(如 jp、kor、fra、spa、ara),并依据 exit code 与 API 响应进行错误处理 - 提供 API key 配置指引、额度问题排查及使用 trans doctor 进行环境诊断 - 附带列出与搜索支持语言的工具,确保使用正确的 Baidu 语言代码 - 详述非标准行为与配置优先级,保障翻译流程无缝运行
● 无害
安装命令
点击复制官方npx clawhub@latest install baidu-text-translate
镜像加速npx clawhub@latest install baidu-text-translate --registry https://cn.longxiaskill.com镜像同步中