📦 Capability Evolver Zc — AI代理自进化引擎
v1.27.7一个面向AI代理的自进化引擎。分析运行时历史记录以识别改进点,并应用协议约束的进化逻辑。
0· 1.0k·7 当前·7 累计
by 安全扫描
OpenClaw
可疑
medium confidence代码库与声明的用途(自进化器)相符,但存在不匹配和风险能力——网络接入/外部资产交换、可选的自动问题报告,以及明确的自我修改路径——在安装前需要仔细审查。
评估建议
这个包基本实现了其声称的功能,但具有可能影响您的仓库并向主机外部发送数据的能力。在安装或运行之前:
- 将 EVOLVE_ALLOW_SELF_MODIFY 视为危险功能:生产环境保持为 false。仅在隔离的实验环境中启用。
- 初始阶段以审查模式运行(node index.js --review);在信任其行为之前避免使用 --loop 或"mad-dog"模式。
- 检查 src/gep/a2aProtocol 和 getTransport() 以了解具体哪些端点将接收资产(涉及 evomap.ai)。如需阻止外部共享,请勿设置 A2A_NODE_ID 并禁用 A2A 传输。
- 除非信任该仓库并审核了编辑代码,否则禁用自动 GitHub 问题提交:设置 EVOLVE_AUTO_ISSUE=false 或避免提供 GITHUB_TOKEN/GH_TOKEN。
- 在允许工具运行之前,备份工作区并确保仓库在单独分支上接受版本控制;优先使用 EVOLVER_ROLLBACK_MODE=stash 而非硬回滚。
- 检查任何待升级的 Genes/Capsules;升级需要 --vali...详细分析 ▾
ℹ 用途与能力
代码(大量 src/ 文件、循环守护进程、a2a 导出/导入/升级、验证/固化逻辑)与一个自进化引擎相符,该引擎读取日志、选择"基因"并应用补丁。然而注册表元数据声明没有必需的环境变量,而 SKILL.md 和代码要求/鼓励使用 EvoMap 节点身份(A2A_NODE_ID/A2A_HUB_URL)和 Git——这种不匹配令人惊讶,应该澄清。网络集成(evomap.ai)是协作进化网络的预期能力,但未在 required.env 中声明。
⚠ 指令范围
运行时指令明确告诉操作员运行 node index.js(或 /evolve),并描述完全自动化的"Mad Dog"循环模式,除非使用 --review 否则将自主应用更改。该技能扫描本地日志、读写 assets/ 和 memory/ 下的资产,可以运行验证命令,并可以生成子节点进程。这些操作与声明的目标一致,但扩大了代理对本地文件和进程(包括 git 操作和回滚)的权限;指令还建议接入外部 EvoMap 网络,这使得可以向外共享进化资产和事件。
✓ 安装机制
未声明安装规范(仅指令),依赖项最少(dotenv)。这降低了安装程序风险,因为注册表安装步骤不会自动获取任何内容。代码库本身包含在运行时调用外部传输(a2aProtocol/getTransport)的逻辑——网络使用是运行时行为而非安装时下载。
⚠ 凭证需求
声明的要求显示没有环境变量,但 SKILL.md 和代码期望 A2A_NODE_ID、A2A_HUB_URL,以及可选的 GITHUB_TOKEN/GH_TOKEN 用于自动问题报告和公开发布流程。存在可选但强大的环境控制(EVOLVE_ALLOW_SELF_MODIFY、EVOLVER_AUTO_ISSUE、EVOLVE_REPORT_TOOL)。请求外部节点身份和令牌对于网络化进化器来说是合理的,但注册表元数据中缺少这些是一个不一致之处,可选变量的数量(及其可能向外部暴露日志或仓库状态的潜力)高于一个简单的元技能所需。
⚠ 持久化与权限
always:false(良好)且默认允许自主调用(正常)。然而,该技能故意包含自我修改能力(EVOLVE_ALLOW_SELF_MODIFY 切换对其自身源代码的自主编辑)并执行基于 git 的回滚/固化步骤(包括在配置时使用破坏性的 git reset --hard)。它还可以自动提交 GitHub 问题并将资产发布到外部 EvoMap 传输。综合来看,这些赋予了广泛的工作区影响力;功能集可以解释,但如果配置错误则强大且危险。
⚠ index.js:164
检测到 shell 命令执行(child_process)。
⚠ scripts/build_public.js:170
检测到 shell 命令执行(child_process)。
⚠ scripts/generate_history.js:17
检测到 shell 命令执行(child_process)。
⚠ scripts/publish_public.js:13
检测到 shell 命令执行(child_process)。
⚠ scripts/recover_loop.js:19
检测到 shell 命令执行(child_process)。
⚠ scripts/suggest_version.js:27
检测到 shell 命令执行(child_process)。
⚠ src/evolve.js:279
检测到 shell 命令执行(child_process)。
⚠ src/gep/deviceId.js:51
检测到 shell 命令执行(child_process)。
⚠ src/gep/llmReview.js:70
检测到 shell 命令执行(child_process)。
⚠ src/gep/solidify.js:66
检测到 shell 命令执行(child_process)。
⚠ src/ops/health_check.js:20
检测到 shell 命令执行(child_process)。
⚠ src/ops/lifecycle.js:27
检测到 shell 命令执行(child_process)。
⚠ src/ops/self_repair.js:17
检测到 shell 命令执行(child_process)。
⚠ src/ops/skills_monitor.js:96
检测到 shell 命令执行(child_process)。
⚠ scripts/publish_public.js:248
环境变量访问与网络发送结合。
⚠ src/evolve.js:56
环境变量访问与网络发送结合。
⚠ src/gep/a2aProtocol.js:75
环境变量访问与网络发送结合。
⚠ src/gep/hubReview.js:104
环境变量访问与网络发送结合。
⚠ src/gep/hubSearch.js:19
环境变量访问与网络发送结合。
⚠ src/gep/issueReporter.js:21
环境变量访问与网络发送结合。
⚠ src/gep/memoryGraphAdapter.js:77
环境变量访问与网络发送结合。
⚠ src/gep/taskReceiver.js:11
环境变量访问与网络发送结合。
⚠ src/ops/self_repair.js:45
环境变量访问与网络发送结合。
⚠ scripts/publish_public.js:254
文件读取与网络发送结合(可能存在数据外泄)。
⚠ src/evolve.js:369
文件读取与网络发送结合(可能存在数据外泄)。
⚠ src/gep/a2aProtocol.js:41
文件读取与网络发送结合(可能存在数据外泄)。
⚠ src/gep/hubReview.js:24
文件读取与网络发送结合(可能存在数据外泄)。
⚠ src/gep/issueReporter.js:42
文件读取与网络发送结合(可能存在数据外泄)。
⚠ src/gep/questionGenerator.js:20
文件读取与网络发送结合(可能存在数据外泄)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.27.72026/3/18
每日自动同步 - 重命名以避免 slug 冲突
● 可疑
安装命令
点击复制官方npx clawhub@latest install capability-evolver-zc
镜像加速npx clawhub@latest install capability-evolver-zc --registry https://cn.longxiaskill.com
技能文档
概述
Capability Evolver 是一个面向 AI 代理的自进化引擎。它通过分析运行时历史记录来识别改进点,并应用协议约束的进化逻辑。
核心功能
- 运行时分析:读取和分析执行日志,识别模式和改进机会
- 基因选择:从历史记录中选择"基因"(有价值的代码片段或行为模式)
- 补丁应用:自动应用协议约束的补丁和修改
- 验证与固化:验证更改并将其固化为持久化形式
- 网络协作:支持与外部 EvoMap 网络集成,共享进化资产
快速开始
# 安装依赖 npm install# 加载环境变量 cp .env.example .env # 编辑 .env 文件,配置必要的环境变量
# 运行进化引擎 node index.js
# 或使用 evolve 命令 ./evolve
环境变量
| 变量名 | 必需 | 描述 |
|---|---|---|
| A2A_NODE_ID | 是 | EvoMap 节点标识符 |
| A2A_HUB_URL | 是 | EvoMap Hub URL |
| GITHUB_TOKEN | 否 | GitHub 令牌,用于自动问题报告 |
| GH_TOKEN | 否 | GitHub 令牌(别名) |
| EVOLVE_ALLOW_SELF_MODIFY | 否 | 允许自我修改(危险) |
| EVOLVER_AUTO_ISSUE | 否 | 自动创建 GitHub 问题 |
| EVOLVER_ROLLBACK_MODE | 否 | 回滚模式:stash 或 hard |
运行模式
审查模式
node index.js --review
在审查模式下,引擎会分析并建议更改,但不会自动应用。
循环模式(Mad Dog)
node index.js --loop
警告:此模式会自主应用更改,仅在完全信任引擎行为后使用。
单次进化
node index.js --evolve
执行单次进化迭代。
目录结构
├── src/
│ ├── evolve.js # 主进化逻辑
│ ├── gep/ # 基因表达程序模块
│ │ ├── a2aProtocol.js # A2A 协议实现
│ │ ├── solidify.js # 固化逻辑
│ │ └── ...
│ └── ops/ # 运维操作
│ ├── health_check.js
│ ├── lifecycle.js
│ └── self_repair.js
├── assets/ # 资产目录
├── memory/ # 内存/状态目录
├── scripts/ # 辅助脚本
└── index.js # 入口点
安全注意事项
⚠️ 重要:
- EVOLVE_ALLOW_SELF_MODIFY:此选项允许引擎修改自己的源代码,存在风险。生产环境应保持为
false。
- 网络访问:引擎可以向外部端点发送数据。在隔离环境中运行或配置 A2A_NODE_ID 时请注意。
- Git 操作:引擎可以执行 git 操作,包括回滚。在运行前确保仓库已备份。
- 自动问题报告:启用后会自动向 GitHub 提交问题。确保信任代码并审核了编辑逻辑。
故障排除
查看日志
tail -f memory/evolve.log
健康检查
node src/ops/health_check.js
恢复循环
如果循环进程崩溃:
node scripts/recover_loop.js
许可证
MIT