📦 Context — 上下文
v1.0.2CompressIncrementally 通过剪枝、保留关键片段,并利用 AI 保持上下文连贯性,对长对话进行增量压缩总结。
0· 19·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
medium confidence该技能基本实现了其描述的功能(压缩对话上下文),但存在不一致性和数据泄露风险,安装前请务必了解。
评估建议
此技能将读取本地 OpenClaw 对话/会话数据,并在启用时把对话中段内容发送至第三方 LLM 服务(SiliconFlow / DeepSeek‑V3)进行摘要。安装前须知:
1. 即使注册元数据未提及,也须假设必须提供 SILICONFLOW_API_KEY——切勿提供你不信任接收方的密钥;
2. 检查 compressor.ts 及其 import readSecret,确认 API 密钥读取位置(env 还是 secret manager),并确保未连接其他意外端点;
3. 摘要可能包含聊天记录中的机密(README 已示此类示例),请在压缩前删除敏感消息或禁用远程 LLM 步骤;
4. 建议先验证上游 GitHub 仓库及所有者身份,避免使用 curl|tar 一行命令安装,除非你信任该仓库;
5. 若无法验证将数据发送至 SiliconFlow 的代码路径,请勿在含机密数据的系统上安装。
若提供完整未删减的 compressor.ts 及所有网络调用代码路径,并证明其范围有限且透明,可提升信任度并可能将本评估改为无害。...详细分析 ▾
⚠ 用途与能力
该 skill 声称使用第三方 LLM(DeepSeek-V3 / SiliconFlow)进行增量摘要。包与运行时调用远程摘要器,符合所述目的,但 registry 元数据未声明所需环境变量或主凭证,而 README 与脚本却期望 SILICONFLOW_API_KEY,代码也使用 readSecret 辅助函数。这种不匹配(需要 API key 却未声明 secret)是一种不一致,降低了透明度。
⚠ 指令范围
运行时指令和脚本会读取本地对话/会话数据,并将内容发送至外部 API 进行摘要。README 中的示例显示,上下文中发现的密钥(如 SECRET_KEY)可能被包含在摘要中——这意味着潜在敏感的对话内容可能被传输到 SiliconFlow。SKILL.md 还建议将该技能复制到 GitHub 同步目录,这可能导致敏感摘要持久化到远程 git 仓库。这些行为虽符合声明用途,但增加了隐私/泄露风险,且未在注册元数据中明确说明。
ℹ 安装机制
没有正式的安装规范;提供了一个 install.sh,将文件复制到 ~/.openclaw/skills(本地,低风险)。SKILL.md 建议用一行命令从 GitHub 仓库下载 tar.gz(常见做法)。远程下载来自 GitHub(知名主机),但仓库为第三方;从不受信任的仓库下载并执行任何内容都存在固有风险。整体安装过程不算高度可疑,但缺乏来源/验证。
⚠ 凭证需求
该技能至少需要提供一个密钥(SILICONFLOW_API_KEY)才能启用 LLM 摘要,代码中引入了 readSecret 助手(可访问环境变量或密钥存储)。然而注册元数据中未列出任何必需的环境变量或主要凭据,这一遗漏造成透明度问题。此外,技能会将对话内容(可能包含凭据、令牌、配置片段)发送给第三方——这与使用外部 LLM 相称,但应明确声明并予以限制。
✓ 持久化与权限
该 skill 未设置 always: true,其 install.sh 仅向 ~/.openclaw/skills 写入自身文件,未修改其他 skill 配置或系统级设置。默认允许自主调用(autonomous invocation),若 skill 泄露数据将扩大影响范围,但这是平台默认行为,并非该 skill 独有配置错误。
⚠ src/compressor.ts:698
环境变量访问结合网络发送
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/20
v1.0.2:添加一键安装命令,ClaWHub 安装后可直接使用
● 无害
安装命令
点击复制官方npx clawhub@latest install context-compress
镜像加速npx clawhub@latest install context-compress --registry https://cn.longxiaskill.com镜像同步中