一、proactive-agent-skill：主动协作

1.1 它可以做什么

proactive-agent-skill 是一个让代理从“被动接单”变成“主动协作”的方法论技能包，核心价值是：不丢上下文、能持续记忆、会定时主动检查与改进。它本身不是“新增一堆工具命令”的插件，而是一套可落地的工作模式。

主要做三件事：

1、WAL 协议（Write-Ahead Logging）

• 先记录关键状态，再执行动作，避免会话中断后“失忆”。

2、Working Buffer（危险区缓冲）

• 把关键对话和决策先落盘，后续再整理进长期记忆。

3、主动化机制（Heartbeat + Cron）

• 定时检查状态、任务和待办，从“等你吩咐”变成“主动提醒 / 巡检”。

1.2 典型收益

适合长期工程协作场景，它可以：

• 减少上下文丢失：重启会话后能快速恢复现场。
• 降低重复沟通成本：关键决策沉淀，不用反复解释。
• 提升执行连续性：定时巡检、定期整理，减少遗漏。
• 让代理更“像搭档”：能主动发现问题并给出下一步建议。

1.3 如何使用

先安装 skill。

在会话里直接跟它说：

帮我安装proactive-agent-skill 这个skill

然后再说：

从现在开始，所有长期协作按 proactive-agent-skill 执行。

二、openclaw-mcp-plugin：接入 MCP

2.1 它是干什么的

openclaw-mcp-plugin 是一个“通用 MCP 连接层” skill，作用是把远程 MCP Server（含 HTTP / SSE）上的工具统一挂到 OpenClaw 里给 agent 调用。

它不是某个单一业务 skill，比如只做搜索，而是“让你接入任意 MCP 能力”的基础设施。

• 把外部 MCP Server 接入 OpenClaw。
• 自动发现远程工具（tools/list）。
• 让 agent 通过统一入口 mcp 工具调用远程能力（tools/call）。
• 支持多服务并行接入，一个 legal、一个 database、一个 weather 都可以。

2.2 怎么用

会话里直接跟它说：

用openclaw-mcp-plugin连接我的Prometheus mcp server(http://<your-server-ip>:<port>/mcp)，并列出该mcp server里的所有工具

三、web-search-free：Web 检索

3.1 它是做什么的

web-search-free 主要提供一组“搜索 / 抓取 / 研究”工具，通常通过 mcporter call 'exa.xxx(...)' 调用：

• web_search_exa：普通网页搜索，返回结果列表、标题、链接和摘要。
• web_search_advanced_exa：高级搜索，可控制时间范围、域名过滤、分类等。
• crawling_exa：按 URL 抓取网页全文，把页面内容抽取出来。
• get_code_context_exa：偏代码 / 技术资料检索，例如 GitHub、StackOverflow 等。
• company_research_exa：公司信息和新闻调研。
• people_search_exa：人物 / 职业资料搜索。

• deep_researcher_start / deep_researcher_check：启动一个“深度研究任务”，它会自己搜索、阅读并生成较长报告。这个流程是异步的，需要先 start 再 check。

• 3.2 有什么用

• 搜索实时信息，例如新闻、近期更新、官网变更、某产品最新用法。

• 从网页抽取正文，例如给一个链接后抓出核心内容并总结。
• 做系统性的调研报告，对复杂问题做多源搜索和综合分析。

• 找代码示例和文档上下文，例如用 get_code_context_exa 补足技术背景。

• 3.3 如何使用

• 这个 skill 依赖 mcporter，所以需要先安装它，直接在 OpenClaw 里让它安装即可。

• 再安装 web-search-free skill，同样可以直接在 OpenClaw 里让它安装。
• 跟 OpenClaw 发指令：“用 web-search-free skill 查一下 Ubuntu 24.04 安装 Docker 的官方步骤，给我简化版操作清单，并附官方链接。”
• 发指令：“用 web-search-free skill 搜索 OpenClaw 最近 3 个月的更新 / 变更点，按重要性总结，给出处链接。”

四、GitHub skill：仓库协作

4.1 它可以做什么

“GitHub skill”本质上是给 Agent 加的一层 GitHub 专用能力封装，让它能更稳定地做仓库、Issue、PR、Release 相关任务，而不是每次都临时拼命令或手写 API。

• 把常见 GitHub 操作产品化：查仓库信息、查 / 建 / 改 Issue、查 / 审 PR、看提交与变更、看 Releases、生成周报 / 变更摘要。
• 把“意图”转成“动作”：你说“帮我汇总这个月已合并 PR”，skill 会自动走查询、过滤和格式化流程。

• 把重复流程固化：例如“PR 初筛（标签、风险、测试状态）”“发版前 checklist”“按作者统计贡献”等。

• 4.2 有什么用

• 提升效率：把 10 到 20 分钟的机械查询压缩到 1 到 2 分钟。

• 降低出错率：统一调用路径和输出格式，减少漏查、漏字段。
• 便于协作：结果可以直接发群、写日报、贴到文档。

• 可复用：同一套 workflow 可以跨仓库复用，尤其适合多仓库团队。

• 4.3 如何使用

• “列出本周 openclaw/openclaw 已合并 PR，按风险排序”

• “把 P1 bug 的 Issue 状态做一个摘要”
• 前提配置：准备 GitHub Token，建议遵循最小权限原则。
• 在 OpenClaw / Gateway 中配置凭据，常见是环境变量或配置项。
• 调用方式：直接用自然语言下达需求。

五、skill-vetter：安全审查

5.1 它可以做什么

skill-vetter 定义了一套标准化的 skill 安全审查流程：source check -> code review -> permission scope -> risk classification。

它会强制你在安装前检查“红旗信号”，例如：

• 外联可疑 URL、隐蔽数据外传。
• 读取敏感路径，例如 ~/.ssh。
• 混淆代码，或 eval / exec 外部输入。
• 申请不必要的高权限或越权文件访问。

• 输出统一审计报告，包括风险级别和是否建议安装。

• 5.2 有什么用

• 防供应链风险：第三方 skill 本质是“可执行能力包”，不审就装，风险很高。

• 降低误装成本：在安装前就发现问题，比上线后排查便宜很多。
• 建立团队标准：多人协作时用同一套模板判断风险，避免“凭感觉”。

• 便于追溯：它要求形成结构化报告，后续能复盘“为什么安装 / 不安装”。

• 5.3 它的核心流程

• Step 1 Source Check：看来源、作者信誉、更新时间和社区反馈。

• Step 2 Code Review（强制）：全文件审查，遇到高危模式可以直接拒绝。
• Step 3 Permission Scope：评估这个 skill 需要读写哪些文件、执行哪些命令、是否需要联网，以及是否遵循最小权限原则。

• Step 4 Risk Classification：分级为 LOW / MEDIUM / HIGH / EXTREME，再给出安装建议。

• 5.4 如何使用

• 请用 skill-vetter 流程审查 skill security-guardian。重点看：是否有外联、是否读取敏感路径、是否有高风险命令执行。输出简版报告：风险等级 + 3 条关键风险 + 是否建议安装。

• 请严格按 skill-vetter 四步流程（Source Check / Code Review / Permission Scope / Risk Classification）审查 openclaw-security-scanner。逐文件列出可疑点，标记红旗项（有 / 无），最后用 SKILL VETTING REPORT 模板输出，给出明确结论：SAFE / CAUTION / DO NOT INSTALL。
• 请用 skill-vetter 对这三个 skill 做并行审查并对比：security-guardian、skill-vetter、cyber-security-engineer。要求统一评分维度，包括来源可信度、权限最小化、可疑行为和维护活跃度；输出排名和推荐安装顺序，并给出“只装 1 个时”的最终建议与理由。
• 首先让 OpenClaw 安装该 skill：“请帮我安装 skill-vetter 这个 skill。”
• 然后再跟 OpenClaw 下达具体审查指令。