可信安装模型
Start from packages that feel installable, not just popular.
这个站的目标是减少“装完后悔”。我们重点强调工作流匹配、可解释的风险信号和适合治理的包详情,而不是假装所有仓库都一样安全。
Why this page matters now
After the OpenClaw boom, many users are jumping straight from curiosity to installation. This page exists to slow that jump down and make the first install decision more legible.
工作流优先:包应该对应真实任务,而不只是一个标签。
可信度要解释:每个 trust score 都要配上可读的安全与活跃度上下文。
先讲清安装:在点击前就告诉你命令、依赖和注意事项。
评估方式
- • 启发式扫描会标记脚本、联网行为、提权提示和过宽的 allowed-tools 模式。
- • Trust score 结合热度、活跃度、结构质量和安全扣分,只是起点,不是承诺。
- • 精选 bundle、企业安全推荐和可疑仓库,最需要人工复核。
安装透明度
- • 每个包页面都应该回答:会装什么、怎么装、还缺什么额外配置。
- • Playbook 应说明工作流结果、验证步骤,以及每个包在组合中的角色。
- • 如果仓库只是自动收录,就要明确写清,而不是暗示“已经完全验证”。
团队 / 企业方向
- • 团队真正需要的是可审批的工作流组合,而不是无限扩张的公开市场。
- • 治理意味着在推广前写清策略匹配、安装要求和 trust caveat。
- • 一旦验证有需求,私有目录、审批状态和已验证安装记录就是可信的下一步。