Back to skill
Skillv1.0.0
ClawScan security
上下文优化器 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 6, 2026, 5:41 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的行为与其描述一致:它分析并精简本地 OpenClaw 工作区的文档、生成报告并可提取为独立技能;没有发现与描述不符的外部网络调用或不成比例的权限请求。
- Guidance
- 该技能总体上是自洽且与其声明的用途一致,但在安装前请注意: - 它会读取并修改本地目录 ~/.openclaw/workspace(生成报告、写入 JSON、可能覆盖或创建 Skill 文件),并会把技能文件复制到 ~/.openclaw/skills/context-optimizer;在运行前请备份工作区或启用版本控制(如 Git)。 - setup_and_test.py 会在本地调用 python 脚本并可调用 openclaw CLI(如果存在),建议先在受控环境(或临时副本目录)运行一次以观察行为。 - 虽然没有检测到网络外发或凭证访问,但提取/生成 Skill 的功能会在磁盘上创建新文件;在将自动化(cron/CI)投入生产前,人工审查生成的 Skill 内容与变更很重要。 总结建议:如果你信任此技能的作者或已自行审查了包含的脚本,安装和使用是合理的;否则先在隔离的工作区或备份副本上测试其完整流程。
Review Dimensions
- Purpose & Capability
- ok技能名/描述与实际代码和说明一致:所有脚本都在读取 ~/.openclaw/workspace 下的文档(AGENTS.md, SOUL.md, MEMORY.md 等),计算字符/token、生成报告并提供将部分工作流封装为独立Skill的功能。没有请求与描述无关的外部凭据或二进制依赖。
- Instruction Scope
- okSKILL.md 明确列出了要分析和修改的文件、优化流程和配置选项;代码实现会读取、分析并写回工作区(生成报告、保存 JSON、在需要时创建/复制 Skill 文件)。说明和代码未包含模糊的“随意搜集上下文”指示,也未指示向外部服务发送用户数据。
- Install Mechanism
- ok没有远程下载或可疑安装步骤:打包内含 Python 脚本与示例,setup_and_test.py 会将这些文件复制到 ~/.openclaw/skills/context-optimizer 并在本地运行脚本。没有使用 URL-shortener、外部二进制下载或不受信任的远程执行。
- Credentials
- ok技能不要求环境变量或外部凭据(注册表数据也显示未声明任何必需 env)。代码会检查本地 Python 版本、OpenClaw 工作区与可选的 openclaw CLI,但没有请求或尝试读取敏感凭证。
- Persistence & Privilege
- note技能不会强制始终启用(always:false),但安装脚本会将文件复制到 ~/.openclaw/skills 并可能将 context_optimizer.py 复制到工作区;示例和安装脚本会建议/帮助创建定期任务(openclaw cron),但并不自动远程注册。用户应注意这些本地写入与定期任务设置(需手动或有 openclaw CLI 支持)。