Workspace Bootstrap
v1.0.0快速一键生成符合最佳实践的 OpenClaw workspace 目录结构和核心文件模板,支持多种配置示例和坑点检查。
⭐ 0· 49·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名/描述与实际文件和脚本一致:创建目录、复制模板、生成 SOUL/USER 等文件并运行本地检查。没有要求不相关的云凭据、二进制或系统配置。
Instruction Scope
SKILL.md 与脚本只在本地读写工作区文件并交互式收集用户输入,范围与目的对齐。需注意示例/模板里有若干 cron 和脚本(如 python 脚本、绝对路径 /home/node/.openclaw/workspace)在仓库中未必都存在;模板也提到将 API 配置放在 user-data/apis/(即可能作为本地存放敏感信息的位置),但技能本身不会自动读取或发送这些凭据。
Install Mechanism
无安装规范(instruction-only),脚本和模板都随包提供;没有通过网络下载或执行外部二进制,风险较低。
Credentials
不要求任何环境变量或凭据(requires.env 空)。虽然模板鼓励在 user-data 中存放 API 配置,但这只是存储建议,不是技能自动访问或传输凭据的行为。
Persistence & Privilege
没有设置 always:true,也未尝试修改其他技能或系统范围配置。技能可以被用户调用或由 agent 自动调用(平台默认),这与功能需求一致。
Assessment
总结与建议:
- 这包看起来是一个本地 workspace 引导工具(创建目录、复制模板、做静态检查),声明和实现基本一致,没有要求凭据或从互联网上下载代码。
- 在运行前请人工快速审阅 scripts/*.sh(尤其是 wizard.sh、bootstrap.sh、check-pitfalls.sh、validate.sh),确认它们只在预期路径下创建/读取本地文件(它们确实如此)。
- 注意示例和模板里有若干 cron 行和示例脚本引用(python 脚本、绝对路径如 /home/node/.openclaw/workspace),这些脚本/路径在仓库中部分缺失或假定了运行环境;如果你启用示例的 cron,请调整为你实际的路径和存在的脚本,避免误调用不存在或错误的路径。
- 模板建议在 user-data/apis/ 存放 API 密钥等敏感信息:确保将这些文件加入 .gitignore 并按你组织的安全实践存储/加密它们;该技能不会自动上传或发送这些凭据,但你应谨慎处理敏感文件。
- 最佳实践:第一次运行在隔离目录或临时目录中(比如 /tmp/),确认生成的内容与预期一致;若你计划让 agent 自动调用(平台默认),确保 agent 的权限和自动化策略已被审查。
总体结论:功能和请求是相符的,属于“良性且自包含”的本地引导工具;按上述建议审查并在受控环境中首次运行即可。Like a lobster shell, security has layers — review code before you run it.
latestvk975gc97910hq7b2qnd4w24ad584cccq
License
MIT-0
Free to use, modify, and redistribute. No attribution required.