📦 Hermes — 赫尔墨斯
v1.0.2自动反思 自动将任务完成、工具执行及错误记录到带日期的反思文件中,用于经验提取与并发优化。
0· 21·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
安全
medium confidence该技能的代码、安装脚本和运行时说明与其声明目的(记录反思并提炼教训)一致;主要风险是虽无害但值得注意的操作细节(README/安装程序中从 GitHub 下载内容,以及使用 npx 会在运行时获取代码)。
评估建议
该技能如其所述:记录工具/子代理结果,并将经验提炼到 memory/reflections/*.md。安装前:1)检查包内文件(install.sh、scripts/log-reflection.sh、src/*.ts)。2)SKILL.md 的一行命令会从 GitHub 下载 tarball(常规安装方式);如介意,可直接用包内文件安装。3)脚本优先用 `npx ts-node`;若本地无 ts-node,npx 会从 npm 拉取并执行——在隔离或离线环境请避免。4)安装器会向 OpenClaw 工作区(默认 /Users/ec/.openclaw/workspace)写入并创建 memory/reflections/ 文件;如需隔离,设 OPENCLAW_WORKSPACE 到测试目录。5)仅当 /Users/ec/research/... 存在时,安装器才可能 rsync 到该路径——无害,但如有该路径请检查。若接受这些行为,可继续;否则请在受控环境手动执行脚本,或去掉 npx 调用,在确认本地 ts-node 后仅运行包内 TypeScript 工具。...详细分析 ▾
✓ 用途与能力
名称/描述(工具/子代理/错误的自动反射)与提供的脚本和 TypeScript 工具保持一致,这些工具会写入反射 Markdown 文件并生成课程。未请求无关的凭据、二进制文件或异常功能。唯一特殊之处是 install.sh 中可选的 rsync 到硬编码开发者路径(/Users/ec/research/...)——可能是作者图方便,若该路径不存在也无害。
ℹ 指令范围
SKILL.md 和 README 要求在 ~/.openclaw/config.yaml 中创建 hooks,使日志脚本在 tools/subagents 之后运行;脚本随后写入用户工作区的 memory/reflections 目录。说明还包含一条 curl|tar 单行命令,从 GitHub 仓库拉取代码(安装 skill 时的常规做法)。运行时代码仅在工作区内读写文件,不向外部端点发送数据。整体范围符合声明用途,但安装器和 hooks 会让 skill 自动捕获工具/子代理的运行结果(如设计所愿)。
ℹ 安装机制
该仓库 bundle 内含 install.sh,会将文件复制到 ~/.openclaw/workspace 并创建 memory/reflections。SKILL.md 也建议一行 curl | tar 从 GitHub(知名托管平台)获取。打包文件中未使用任意远程归档或 obscure 主机。唯一运行风险:当 npx 存在时,脚本会尝试通过 npx ts-node 执行代码(见下文)。
ℹ 凭证需求
该 skill 未声明必需的环境变量或凭据;它尊重 OPENCLAW_WORKSPACE 对工作区路径的覆盖。主要比例性关切在于脚本中使用 `npx ts-node`:若 npx 存在但本地未安装 ts-node,npx 可能在运行时从 npm 拉取包,意味着网络拉取并执行来自 registry 的代码。对基于 TypeScript 的工具而言这是合理的,但在敏感环境运行前需留意。
✓ 持久化与权限
always:false,且该 skill 不会自动修改全局 OpenClaw 设置——它会提示用户自行在 ~/.openclaw/config.yaml 中添加 hooks。install.sh 仅向用户的 OpenClaw 工作区写入文件(符合预期),不会更改其他 skill 的配置,也不要求提升权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/20
v1.0.2:添加一键安装命令,ClaWHub 安装后可直接使用
● Pending
安装命令
点击复制官方npx clawhub@latest install hermes-auto-reflection
镜像加速npx clawhub@latest install hermes-auto-reflection --registry https://cn.longxiaskill.com镜像同步中