📦 chitin-core — 模型优选路由
v1.0.0自动挑选最具性价比的可用模型,优雅处理限速失败,支持层级覆盖与健康检查,为任务提供稳定低成本的大模型调用。
0· 356·1 当前·1 累计
by @adroidian下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
可疑
medium confidence该技能实现了声明的模型路由功能,但代码会读取本地 OpenClaw 配置与密钥文件,依赖未声明的提供商 API 密钥,并包含硬编码 Telegram 机器人令牌及外部主机引用——这些不一致之处需在安装前谨慎核查。
评估建议
安装前需检查:
- 技能代码与声明的路由功能一致,但期望通过环境变量或 ~/.openclaw/workspace/.secrets 获取提供商 API 密钥(Anthropic/OpenAI/OpenRouter),而注册表未声明任何所需变量。如不希望其使用你的凭据,请勿提供相关环境变量或密钥文件。
- provider-sync.js 内含硬编码 Telegram 机器人令牌与聊天 ID,会向外部机器人发送通知。若手动或定时运行 provider-sync,需删除/替换硬编码令牌或禁用 Telegram 通知。
- 同步脚本引用远程 Ollama Forge IP;启用自动同步/定时任务前请审计所有网络端点。
- 路由脚本会在 ~/.openclaw 下读写文件(openclaw.json、内存状态等)——请检查这些路径并视需备份配置。
- 建议:先在安全环境逐行审阅自带脚本(provider-sync.js 与 router.js)。若计划自动运行 provider-sync,先使用 dry-run 模式,移除硬编码令牌,并限制网络访问仅到你信任的提供商。
- 若无法审计代码,请...详细分析 ▾
ℹ 用途与能力
router.js 与 provider-sync.js 实现模型路由、层级逻辑、故障转移、健康与成本跟踪——与名称/描述一致。但技能隐式需要访问提供商 API 及用户的 OpenClaw 配置(process.env、~/.openclaw/openclaw.json 与 ~/.openclaw/workspace/.secrets),而注册元数据未声明任何所需环境变量或配置路径。
⚠ 指令范围
SKILL.md 仅记录使用 scripts/router.js(route/fail/health 等)属于范围内,但未提及可查询提供商 API、更新 config.json 并发送 Telegram 通知的 provider-sync 脚本。运行时代码会在用户主目录 (~/.openclaw) 读写文件,包括 openclaw.json 与持久状态文件,并查阅 .secrets 获取 API 密钥——这些操作 SKILL.md 未描述。
✓ 安装机制
仅指令型技能,无安装规范;安装器不会自动写入磁盘。风险来自运行时脚本执行的文件 I/O,而非安装器或远程下载。
⚠ 凭证需求
provider-sync 期望通过环境或回退文件获取 API 密钥(ANTHROPIC_API_KEY、OPENAI_API_KEY、OPENROUTER_API_KEY),但注册元数据未列出所需环境变量。此外 provider-sync 内含硬编码 Telegram 机器人令牌与聊天 ID,并引用远程 Ollama Forge 主机 IP——对于路由助手而言属意外,可能导致外部网络活动。
ℹ 持久化与权限
技能并非 always:true,不会自主注册到注册表,但其脚本会将持久状态写入 ~/.openclaw/workspace/memory/modelrouter-state.json,并可更新技能目录中的 config.json。README 建议为 provider-sync 设置定时任务(每晚运行),若启用则意味着持续的外部网络活动。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/28
首次发布:统一模型路由、成本优化、提供商故障转移与夜间提供商同步。Chitin 智能操作系统的核心引擎。
● 可疑
安装命令
点击复制官方npx clawhub@latest install chitin-core
镜像加速npx clawhub@latest install chitin-core --registry https://cn.longxiaskill.com