← 返回 Skills 市场

NVIDIA Agent Fleet

Name: NVIDIA Agent Fleet
Author: clementgu

作者 Clement Gu · GitHub ↗ · v1.1.0 · MIT-0

cross-platform ⚠ suspicious

总下载

当前安装

版本数

在 OpenClaw 中安装

/install nvidia-agent-fleet

功能描述

NVIDIA Agent Fleet — 19个模型Agent + 智能调度引擎 + 并行协作

安全使用建议

主要风险点： - 该技能会自动尝试检索 NVIDIA_API_KEY：它不仅读取环境变量，还会用 subprocess 去 source ~/.zshrc（会执行该文件），并扫描本地 openclaw 配置文件。这能意外运行用户 shell 启动脚本并暴露其他敏感内容。 - 调度器会把你的任务文本与 system/user prompts 发送到外部 URL (https://integrate.api.nvidia.com/v1)，并带上发现的 API Key —— 所有被发送的内容都可能到达第三方服务。不要让它处理密码、私有代码、API 密钥或敏感 PII，除非你完全信任源头并能验证 endpoint 的合法性。 - registry 列出的模型来自多个供应商，但技能把它们包装为“ NVIDIA Fleet”，这可能是误导或与实际后端能力不匹配。建议操作： 1) 在安装前要求作者/发布者提供源码来源与 homepage，确认该 NVIDIA API 端点是否官方、以及它如何代理或路由到其他模型。不要仅信任匿名发布者。 2) 在受控环境或沙箱中先运行：用非敏感示例调用，观察网络请求与外发域名，确认不会上传敏感数据。 3) 优先提供显式的 NVIDIA_API_KEY（通过安全方式/秘密管理器）而关闭自动发现；若不得已使用自动发现，先从 ~/.zshrc 或 openclaw.json 中删除敏感条目并备份。 4) 若不信任该技能来源，拒绝安装；或者手动审计并修改代码（移除对 ~/.zshrc 的 source 调用，限制配置文件搜索路径，明确要求用户提供 API key）。如果你希望我帮你，我可以：检查完整的 dispatcher/fleet.py（剩余被截断部分），指出所有可能的外联点与凭据访问点，或生成修改建议（如移除 source 调用并改为只读取 explicit env var）。

功能分析

Type: OpenClaw Skill Name: nvidia-agent-fleet Version: 1.1.0 The skill bundle contains a 'fleet' dispatcher that implements an aggressive 'API Key Auto-discovery' mechanism in `dispatcher/fleet.py`. This feature attempts to extract credentials by sourcing the user's `~/.zshrc` file via `subprocess.run` and recursively searching through local JSON/YAML configuration files for strings matching NVIDIA API patterns. While the code appears to only send these keys to the legitimate NVIDIA endpoint (integrate.api.nvidia.com), the practice of sourcing shell configuration files and scanning the filesystem for secrets is a significant privacy risk and a security anti-pattern that mimics credential-harvesting behavior.

能力标签

requires-sensitive-credentials

能力评估

⚠ Purpose & Capability

技能名与描述强调“ NVIDIA Agent Fleet”，但 agents/registry 列出了来自多家厂商（Mistral、Qwen、Meta、Google 等）的模型，且 dispatcher 将把任务发送到一个统一的 NVIDIA API 端点。把多厂商模型包装为“ NVIDIA”调度器是误导性的/不一致的：如果这个 endpoint 并非真正代理这些模型，调用可能失败或行为不明确。

⚠ Instruction Scope

运行时指令和代码会自动发现 API key：先检查环境变量，然后用 subprocess 去 source ~/.zshrc 并 echo 变量（这会执行用户的 shell 启动脚本），还会读取 ~/.openclaw/openclaw.json 与 /opt/homebrew/etc/openclaw.yaml 并深度搜索内部字段。该行为超出多数用户期望（会读取并间接执行用户配置文件），并会把用户输入/消息发送到外部 API，从而可能泄露敏感数据。

ℹ Install Mechanism

无安装规范（instruction-only），没有下载外部二进制或归档，这是相对低风险；但仓库随附 Python 代码，会在本地解释执行，故静态无 install 不等于无执行风险。

⚠ Credentials

技能元数据宣称无需环境变量，但代码会主动寻找 NVIDIA_API_KEY（以及在 shell 配置和 openclaw.json 中查找），这与声明不一致。自动从多个位置（包括用户的 shell 配置）提取凭据在权限上不成比例，会增加意外泄露或误用凭据的风险。

ℹ Persistence & Privilege

技能未设置 always: true，也未声明修改其他技能或系统配置。主要风险来自于：允许模型/代理自动调用外部 API（disable-model-invocation 未禁用）并且会自动检索本地凭据 —— 将自动调用与凭据自动发现结合，会扩大潜在泄露范围；但技能本身不显式要求长期驻留或篡改其他配置。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install nvidia-agent-fleet
安装完成后，直接呼叫该 Skill 的名称或使用 /nvidia-agent-fleet 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.1.0

✨ 并行执行: ThreadPoolExecutor多模型同时调用 ⏰ 逐模型超时保护 🔑 API Key三级自动发现(env→.zshrc→openclaw.json) 🧵 线程安全优化

v1.0.2

安全修复：fleet.py 增加 API Key 缺失检测

v1.0.1

安全修复：移除硬编码API Key，用户需自行配置环境变量

v1.0.0

初始发布：19个模型Agent + 智能调度引擎，自动分类分发任务

元数据

Slug nvidia-agent-fleet

版本 1.1.0

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 4

常见问题

NVIDIA Agent Fleet 是什么？

NVIDIA Agent Fleet — 19个模型Agent + 智能调度引擎 + 并行协作. 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 99 次。

如何安装 NVIDIA Agent Fleet？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install nvidia-agent-fleet」即可一键安装，无需额外配置。

NVIDIA Agent Fleet 是免费的吗？

是的，NVIDIA Agent Fleet 完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

NVIDIA Agent Fleet 支持哪些平台？

NVIDIA Agent Fleet 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 NVIDIA Agent Fleet？

由 Clement Gu（@clementgu）开发并维护，当前版本 v1.1.0。