← Back to Skills Marketplace
NVIDIA Agent Fleet
by
Clement Gu
· GitHub ↗
· v1.1.0
· MIT-0
99
Downloads
0
Stars
0
Active Installs
4
Versions
Install in OpenClaw
/install nvidia-agent-fleet
Description
NVIDIA Agent Fleet — 19个模型Agent + 智能调度引擎 + 并行协作
Usage Guidance
主要风险点:
- 该技能会自动尝试检索 NVIDIA_API_KEY:它不仅读取环境变量,还会用 subprocess 去 source ~/.zshrc(会执行该文件),并扫描本地 openclaw 配置文件。这能意外运行用户 shell 启动脚本并暴露其他敏感内容。
- 调度器会把你的任务文本与 system/user prompts 发送到外部 URL (https://integrate.api.nvidia.com/v1),并带上发现的 API Key —— 所有被发送的内容都可能到达第三方服务。不要让它处理密码、私有代码、API 密钥或敏感 PII,除非你完全信任源头并能验证 endpoint 的合法性。
- registry 列出的模型来自多个供应商,但技能把它们包装为“ NVIDIA Fleet”,这可能是误导或与实际后端能力不匹配。
建议操作:
1) 在安装前要求作者/发布者提供源码来源与 homepage,确认该 NVIDIA API 端点是否官方、以及它如何代理或路由到其他模型。不要仅信任匿名发布者。
2) 在受控环境或沙箱中先运行:用非敏感示例调用,观察网络请求与外发域名,确认不会上传敏感数据。
3) 优先提供显式的 NVIDIA_API_KEY(通过安全方式/秘密管理器)而关闭自动发现;若不得已使用自动发现,先从 ~/.zshrc 或 openclaw.json 中删除敏感条目并备份。
4) 若不信任该技能来源,拒绝安装;或者手动审计并修改代码(移除对 ~/.zshrc 的 source 调用,限制配置文件搜索路径,明确要求用户提供 API key)。
如果你希望我帮你,我可以:检查完整的 dispatcher/fleet.py(剩余被截断部分),指出所有可能的外联点与凭据访问点,或生成修改建议(如移除 source 调用并改为只读取 explicit env var)。
Capability Analysis
Type: OpenClaw Skill
Name: nvidia-agent-fleet
Version: 1.1.0
The skill bundle contains a 'fleet' dispatcher that implements an aggressive 'API Key Auto-discovery' mechanism in `dispatcher/fleet.py`. This feature attempts to extract credentials by sourcing the user's `~/.zshrc` file via `subprocess.run` and recursively searching through local JSON/YAML configuration files for strings matching NVIDIA API patterns. While the code appears to only send these keys to the legitimate NVIDIA endpoint (integrate.api.nvidia.com), the practice of sourcing shell configuration files and scanning the filesystem for secrets is a significant privacy risk and a security anti-pattern that mimics credential-harvesting behavior.
Capability Tags
Capability Assessment
Purpose & Capability
技能名与描述强调“ NVIDIA Agent Fleet”,但 agents/registry 列出了来自多家厂商(Mistral、Qwen、Meta、Google 等)的模型,且 dispatcher 将把任务发送到一个统一的 NVIDIA API 端点。把多厂商模型包装为“ NVIDIA”调度器是误导性的/不一致的:如果这个 endpoint 并非真正代理这些模型,调用可能失败或行为不明确。
Instruction Scope
运行时指令和代码会自动发现 API key:先检查环境变量,然后用 subprocess 去 source ~/.zshrc 并 echo 变量(这会执行用户的 shell 启动脚本),还会读取 ~/.openclaw/openclaw.json 与 /opt/homebrew/etc/openclaw.yaml 并深度搜索内部字段。该行为超出多数用户期望(会读取并间接执行用户配置文件),并会把用户输入/消息发送到外部 API,从而可能泄露敏感数据。
Install Mechanism
无安装规范(instruction-only),没有下载外部二进制或归档,这是相对低风险;但仓库随附 Python 代码,会在本地解释执行,故静态无 install 不等于无执行风险。
Credentials
技能元数据宣称无需环境变量,但代码会主动寻找 NVIDIA_API_KEY(以及在 shell 配置和 openclaw.json 中查找),这与声明不一致。自动从多个位置(包括用户的 shell 配置)提取凭据在权限上不成比例,会增加意外泄露或误用凭据的风险。
Persistence & Privilege
技能未设置 always: true,也未声明修改其他技能或系统配置。主要风险来自于:允许模型/代理自动调用外部 API(disable-model-invocation 未禁用)并且会自动检索本地凭据 —— 将自动调用与凭据自动发现结合,会扩大潜在泄露范围;但技能本身不显式要求长期驻留或篡改其他配置。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install nvidia-agent-fleet - After installation, invoke the skill by name or use
/nvidia-agent-fleet - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.1.0
✨ 并行执行: ThreadPoolExecutor多模型同时调用 ⏰ 逐模型超时保护 🔑 API Key三级自动发现(env→.zshrc→openclaw.json) 🧵 线程安全优化
v1.0.2
安全修复:fleet.py 增加 API Key 缺失检测
v1.0.1
安全修复:移除硬编码API Key,用户需自行配置环境变量
v1.0.0
初始发布:19个模型Agent + 智能调度引擎,自动分类分发任务
Metadata
Frequently Asked Questions
What is NVIDIA Agent Fleet?
NVIDIA Agent Fleet — 19个模型Agent + 智能调度引擎 + 并行协作. It is an AI Agent Skill for Claude Code / OpenClaw, with 99 downloads so far.
How do I install NVIDIA Agent Fleet?
Run "/install nvidia-agent-fleet" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is NVIDIA Agent Fleet free?
Yes, NVIDIA Agent Fleet is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does NVIDIA Agent Fleet support?
NVIDIA Agent Fleet is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created NVIDIA Agent Fleet?
It is built and maintained by Clement Gu (@clementgu); the current version is v1.1.0.
More Skills