技能随行官
v1.0.2每次AI回复后自动分析本轮实际调用的专项技能,在回复末尾追加汇报。自动挂载,无需命令触发。
⭐ 0· 74·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名与描述都表明要在每次回复末尾追加“本轮使用技能”列表;SKILL.md 的指令和随附的 report_skills.py 脚本都围绕记录/汇报技能使用展开,未看到与声明目的不相称的权限或依赖。
Instruction Scope
SKILL.md 要求将报告附加到每个回复并区分“专项技能”与内置工具,这需要 agent 能获知本轮的工具/skill 调用记录。随附脚本无法直接访问会话历史(会返回空),因此实际依赖 agent 自行报告。指令不会要求读取凭据或系统敏感路径,但强制每条回复追加内容,可能改变响应格式并泄露已安装/调用的第三方 skill 名称(隐私/信息泄露风险)。文中对“名称使用实际目录名”和“不列入自身”有小的不一致说明。
Install Mechanism
无安装规范(instruction-only 附带一个小脚本)。没有从远端下载或执行未知二进制,唯一操作是将日志写入临时路径(基于 TEMP 或 /tmp)。
Credentials
不要求任何凭据或配置路径。脚本仅读取环境变量 TEMP 用于定位临时文件夹,这与记录日志的目的相称。
Persistence & Privilege
技能并未声明 always:true,但指令要求“每个回复都追加”——这是持久行为上的期望。脚本会在临时目录写入 skill_usage_log.json(持久化本地记录),但不会修改其他技能或全局配置。
Assessment
这个技能看起来是“做什么就说什么”的:它会要求 agent 在每次回复末尾列出本轮调用的第三方/专项技能,并在 /tmp(或 %TEMP%)下保存一个 JSON 日志。优点是便于审计已用技能;要注意:
- 它会改变每条回复的格式(始终追加一段报告),如果你不想在所有回复中看到该附加内容,请不要安装或在设置里禁用。
- 日志包含已调用的 skill 名称(可能暴露安装的第三方技能列表),若有隐私顾虑请定期检查或清除 /tmp/skill_usage_log.json(脚本支持 'clear' 命令)。
- 脚本本身无法直接读取会话历史,依赖 platform/agent 正确自报工具调用;因此报告可能不完美。总体上没有请求凭据或可疑外部安装来源,属于内部一致且比例合理的技能。Like a lobster shell, security has layers — review code before you run it.
latestvk97bxqj3d22xktxfefq7g77gn583yh6a
License
MIT-0
Free to use, modify, and redistribute. No attribution required.