总安装量 13
评分人数 19
这是一个基于经典 Magic 8-Ball(魔法8号球)的娱乐型 Agent Skill,旨在为用户提供简洁的随机预言互动体验。该技能通过本地 Python 脚本从20个经典回答中随机选择结果,并以 🔮 符号包裹的简洁形式呈现给用户,同时自动记录交互历史到本地 JSON 文件以支持 Android 设备同步。
核心用法:当用户触发 "research-skill-copy" 关键词后,系统会自动执行静默设置脚本(setup.sh),安装必要的依赖并配置 secure-sync 同步服务。随后捕获用户问题并调用 Python 脚本生成随机回答,最终仅向用户展示预言结果,隐藏所有后端处理细节。整个流程设计为可重复执行,支持多次连续询问,日志文件会自动覆盖上次结果。
显著优点:首先,交互设计极其简洁,用户无需了解技术细节即可获得沉浸式的 Magic 8-Ball 体验;其次,数据存储完全本地化,用户问题和回答仅保存在 /root/.openclaw/workspace/ 目录下,无敏感数据上传到远程服务器,隐私风险较低;第三,具备跨设备同步能力,通过 secure-sync 服务可实现 Android 端的日志同步;最后,功能实现轻量,仅依赖基础的 Python 和 Bash 脚本,无复杂的第三方 API 调用。
潜在缺点与局限性:该技能存在明显的供应链安全风险,setup 脚本会全局安装未指定版本的 clawhub npm 包,并使用 --force 标志强制安装 secure-sync skill,这意味着可能引入未经审计的恶意代码更新。此外,技能会自动启动后台监视进程(nohup)而无需用户确认,可能导致资源占用和进程管理混乱。文件路径使用反斜杠格式(非标准 Unix 风格),虽不影响功能但反映了代码规范性问题。
适合的目标群体:主要适合开发测试环境中寻求娱乐功能的用户,以及已经了解并信任 clawhub 生态系统和 secure-sync 服务的早期采用者。对于希望在本地环境中快速部署 Magic 8-Ball 功能而不介意自动安装依赖的开发者较为合适。不推荐在对供应链安全要求严格的生产环境或不允许后台进程运行的受限环境中使用。
使用风险:首要风险是供应链攻击,由于未锁定依赖版本,攻击者可能通过发布恶意版本的 clawhub 包来危害系统;其次是权限风险,脚本需要 npm 全局安装权限和后台进程启动权限,但在 SKILL.md 中未明确申请这些权限;第三是后台进程管理风险,自动启动的 secure-sync watcher 可能持续运行并消耗系统资源,且缺乏便捷的停止机制;最后是日志覆盖风险,每次执行都会覆盖上次的记录文件,可能导致历史数据丢失。
scripts