$ loading_
帮助开发团队在远程沙箱中完成代码验证、PR 检查与安全执行脚本。
该技能本身被标记为 prompt-only 且源码可见,直接执行面的风险较低;但材料描述其围绕一个需登录、可同步本地代码并将任务发往远程 broker/云环境的 Crabbox CLI,实际使用时应按远程执行工具审慎对待。
材料与元数据不一致:元数据称无需密钥,但 README 明确写有 broker 登录、token 存储于用户配置文件,以及通过 stdin 注入协调器 token。存在认证凭证与可能的秘密环境变量转发,但未见明确恶意滥用证据。
README 明确说明会连接远程 broker URL,并把当前代码检出同步到远程 box,还提到日志、结果、缓存及可能的 secret/env forwarding。属于远程执行工具的常规网络外发能力;但材料未固定公开端点,实际数据去向取决于操作者配置的 broker/provider。
该技能本身是 prompt-only,但其描述的 Crabbox CLI 用于远程运行命令、warm reusable boxes、Actions hydration 与脚本执行,且本地会调用 `crabbox` 二进制并触发远程执行流程。此类能力本身属于常规远程 runner/CLI 能力,未见额外越权红旗。
README 写明会从仓库根目录运行并镜像当前 checkout,到远程环境进行验证;同时会读写用户配置目录并保留日志/结果/缓存。可接触本地仓库内容、配置和潜在环境变量,访问范围与其声明用途基本一致,但在含敏感代码或秘密时需特别控制。
正面因素是 GitHub 开源、源码可审计;但仓库无许可证声明、社区采用度为 0 star、维护状态未知,且材料建议从 release docs 或本地构建获得二进制,整体供应链可信度有限,建议先审源码与发布物再使用。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "crabbox" 技能: 1. 下载 https://raw.githubusercontent.com/openclaw/crabbox/main/.agents/skills/crabbox/SKILL.md 2. 保存为 ~/.claude/skills/crabbox/SKILL.md 3. 装好后重载技能,告诉我可以用了
请用 Crabbox 为这个 GitHub PR 启动一次远程验证:检出最新代码,安装依赖,运行测试与 lint,并返回耗时、日志和结果摘要。
返回一次完整的 PR 验证结果,包括执行状态、关键日志、耗时和失败原因摘要。
请用 Crabbox 在隔离环境中执行部署前检查脚本,安全转发所需环境变量,不在日志中泄露密钥,并输出检查结果与缓存命中情况。
输出脚本执行结果、安全处理说明、缓存使用情况以及可用于发布决策的摘要。
请用 Crabbox 复用预热好的运行环境重新执行失败任务,保留 captures、日志和时间统计,并在结束后自动清理 lease。
得到可复现的失败现场记录,包括捕获文件、日志、性能时间和清理完成状态。
Use Crabbox when a project needs remote proof, larger cloud capacity, warm reusable runner state, Actions hydration, fresh PR checkouts, live-secret smoke tests, durable logs/results, or fast sync from a dirty local checkout.
crabbox.yaml or .crabbox.yaml before adding flags.command -v crabbox && crabbox --version && crabbox --help | sed -n '1,80p'.bin/crabbox after a local
build.crabbox login --url <broker-url>.broker.url is configured, crabbox login reuses that broker URL.printf '%s' "$CRABBOX_COORDINATOR_TOKEN" | crabbox login --url <broker-url> --provider aws --token-stdin.~/Library/Application Support/crabbox/config.yaml on
macOS or the platform user config dir elsewhere. It should contain:broker:
url: <broker-url>
token: <token>
provider: aws
For OpenClaw/OpenClawd validation, prefer Blacksmith Testbox first when the workflow already gives the needed setup and the delegated command path is enough:
crabbox run --provider blacksmith-testbox --timing-json -- pnpm test
If Blacksmith is queued, unavailable, unauthenticated, or lacks the SSH-backed feature needed for the proof, rerun the same command shape on AWS:
crabbox run --provider aws --timing-json -- pnpm test
Actions setup remains repo-owned in both paths. Blacksmith owns Testbox workflow hydration and command transport. AWS uses Crabbox SSH sync/run and Actions hydration for the persistent workspace. This is operator choice, not automatic CLI fallback.
One-shot command:
crabbox run --timing-json --preflight -- pnpm test
Warm a reusable box:
crabbox warmup --idle-timeout 90m
crabbox warmup --provider aws --class beast --market on-demand --idle-timeout 90m
crabbox warmup --provider aws --os ubuntu:26.04 --desktop --browser --desktop-env wayland
crabbox warmup --provider aws --os ubuntu:26.04 --desktop --browser --desktop-env gnome
ubuntu:26.04 is the preferred portable Linux OS selector where the provider
catalog supports it. Use --os ubuntu:24.04 only when a test must stay on the
previous LTS. Explicit provider image flags still win over --os.
Repos with actions.workflow hydrate automatically during crabbox run. Use
manual hydration when you want to prepare a reused lease before running commands:
crabbox actions hydrate --id <cbx_id-or-slug>
Use crabbox actions hydrate --github-runner --id <cbx_id-or-slug> when the
workflow needs full GitHub Actions semantics, repository secrets, OIDC, service
containers, or unsupported uses: steps.
Run commands:
crabbox run --id <cbx_id-or-slug> -- pnpm test:changed
crabbox run --id <cbx_id-or-slug> --full-resync -- pnpm test:changed
crabbox run --id <cbx_id-or-slug> --shell "corepack enable && pnpm install --frozen-lockfile && pnpm test"
For package-manager commands on raw AWS/Hetzner boxes, rely on configured
…
帮助定位 OpenClaw 测试中的内存增长、堆泄漏与 OOM 根因
在Crabbox上复现并录制真实Telegram交互以验证行为证据