← 返回 Skills 市场

Team Work

Name: Team Work
Author: the-invulnus

作者 the-invulnus · GitHub ↗ · v0.1.1 · MIT-0

cross-platform ⚠ suspicious

129

总下载

当前安装

版本数

在 OpenClaw 中安装

/install team-work

功能描述

团队协作技能，用于多个 openclaw 智能体连接到同一个 team 中进行协作。主要功能包括：团队初始化注册、消息发送与接收、团队状态同步。

安全使用建议

这个技能总体上看起来是为了让多个 agent 通过一个 team 服务协作而设计的，但在凭据与目标端点方面有不一致和不够明确的地方。安装/运行前请考虑： - 确认你将要连接的 team 服务的 host:port 是可信任的：脚本会把消息和 join 请求以明文 POST 到该地址。不要向未知或不受信任的主机提供连接信息。 - 注意本地配置文件路径：join_team.js 会在你指定的位置写入包含 host、port、team_id、agent_name 的 JSON 文件，确保该路径安全且不会意外泄露。不要把该文件放到公用目录或版本控制的公开仓库。 - Git 访问凭据要小心：SKILL.md 建议使用 GIT_USER / GIT_ACCESS_TOKEN，但这些环境变量未在技能声明中列出。不要在不信任的技能下设置长期有效的令牌；优先在沙箱或临时环境中测试，并仅在必要时由可信用户显式提供凭据。 - 若你需要更高信心：要求技能发布者把所需的环境变量在元数据中声明、或提供明确的服务端点文档；或在隔离环境中先运行 join_team/send_message 并查看它们的网络目的地与行为。综合来说：功能一致但凭据/数据流处有未声明或不明确的风险，建议在受控/沙箱环境验证并向发布者索要更明确的安全说明再在生产环境使用。

功能分析

Type: OpenClaw Skill Name: team-work Version: 0.1.1 The skill provides legitimate multi-agent orchestration via HTTP messaging, but contains vulnerabilities related to input handling. Specifically, `scripts/join_team.js` and `scripts/send_message.js` accept a `--config-path` argument without sanitization, allowing for potential arbitrary file write or path traversal if the agent is directed to a sensitive location. Additionally, the `SKILL.md` instructions encourage the use of sensitive environment variables (e.g., `GIT_ACCESS_TOKEN`) in shell commands, which increases the risk of credential exposure.

能力评估

ℹ Purpose & Capability

技能名和描述与包含的脚本（join_team.js, send_message.js）一致：脚本向指定的 team 服务（host:port）发送 /team/join_team 与 /team/send_message 请求并在本地保存/加载配置，功能与“团队协作”说明相匹配。但 SKILL.md 中对 Git 访问授权（GIT_AUTH_TYPE、GIT_USER、GIT_ACCESS_TOKEN）的说明没有在元数据中声明为 required.env，造成信息不一致。

⚠ Instruction Scope

运行时指令要求 agent 调用本地脚本、读写本地配置文件并向一个由指令提供的 host:port 发起 HTTP 请求——这些与团队功能相关且可解释。但文档还要求使用 Git（clone/push）并可能使用环境变量中的凭据或直接向用户索要凭据，这扩大了操作范围并且未在技能元数据中列出这些凭据或明确的限制。

✓ Install Mechanism

这是一个 instruction-first 的技能，没有安装步骤或远程下载；仅包含两个可执行脚本。没有可疑的外部下载或抽取行为。

⚠ Credentials

技能元数据没有声明任何必需的环境变量，但文档显式建议依赖 GIT_AUTH_TYPE、GIT_USER、GIT_ACCESS_TOKEN 等环境变量来访问私有仓库。未声明的凭据使用会导致隐式请求秘密或提示用户提供敏感信息，且脚本/文档允许向任意 host:port 发送消息，可能导致数据发送到不受信任的终端。

✓ Persistence & Privilege

技能不会强制总是启用（always:false），也不改写其它技能配置；唯一的持久化行为是将团队配置信息写到用户指定的本地路径（config file），这是合理且与目的相关。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install team-work
安装完成后，直接呼叫该 Skill 的名称或使用 /team-work 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v0.1.1

team-work 0.1.1 - 更新 Git 协作流程说明：明确了 Git 仓库授权、访问流程和失败后的处理方式。 - 调整团队成员推送文件到 Git 的流程描述，更明确推送时机（任务分配或结果汇报前）。 - 新增依据环境变量 GIT_AUTH_TYPE 判断 Git 认证方式的说明。 - 优化了团队 lead 索要 Git 仓库地址和分支的简化步骤描述。

v0.1.0

Initial release of the team-work skill. - Enables multiple openclaw agents to join and collaborate in the same team. - Core features: team registration, message sending (broadcast & private), message receiving, and team state synchronization. - Provides scripts for team joining and message communication. - Defines clear initialization and task execution procedures for agents. - Supports progress tracking with local files and collaborative file sharing via git, including permissions setup with environment variables. - Includes detailed collaboration guidelines for team leads and members.

元数据

Slug team-work

版本 0.1.1

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 2

常见问题

Team Work 是什么？

团队协作技能，用于多个 openclaw 智能体连接到同一个 team 中进行协作。主要功能包括：团队初始化注册、消息发送与接收、团队状态同步。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 129 次。

如何安装 Team Work？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install team-work」即可一键安装，无需额外配置。

Team Work 是免费的吗？

是的，Team Work 完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

Team Work 支持哪些平台？

Team Work 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 Team Work？

由 the-invulnus（@the-invulnus）开发并维护，当前版本 v0.1.1。