skills/enderfga/Claude Code Agent

Claude Code Agent

🔗 MCP 工具编排与多端同步

OpenClaw Claude Code 的 MCP 工具服务器编排与状态持久化方案,支持跨设备会话同步

收藏
10.3k
安装
3k
版本
0.2.0
CLS 安全性认证2026-05-19
点击查看完整报告 >

使用说明

核心用法

OpenClaw Claude Code Skill 是一个专为 Claude Code 设计的 MCP(Model Context Protocol)集成工具包,主要解决三个核心场景:MCP 服务器编排状态持久化跨设备会话同步

MCP 服务器管理:通过 initializeMcpSystem() 启动预配置的 MCP 服务器(如文件系统、GitHub 等),支持动态增删改查。开发者可使用 addMcpServer() 在运行时接入新工具服务器,executeMcpAction() 统一调用各服务器的工具能力,getAllTools() 获取全局可用工具清单。

状态持久化:基于 Zustand 封装 createPersistStore(),内置 IndexedDB 与 localStorage 双存储后端,自动处理 hydration 状态(_hasHydrated 标识),确保应用启动时状态无缝恢复。

会话同步:提供 mergeSessions()mergeWithUpdate() 等冲突解决算法,支持基于时间戳的智能合并,实现多设备间的配置与聊天记录同步。

显著优点

  • 协议标准化:深度集成 MCP 开放协议,工具服务器即插即用
  • 存储灵活性:IndexedDB 适合大数据量,localStorage 适合简单配置
  • 动态编排:运行时热插拔 MCP 服务器,无需重启
  • TypeScript 原生:完整的类型推导,API 签名清晰

潜在局限

  • Node.js 生态绑定:仅支持 Node.js 18+ 环境,浏览器端需额外适配
  • MCP 生态早期:依赖第三方 MCP 服务器的质量与维护状态
  • 同步冲突风险:时间戳合并策略在时钟偏差场景下可能产生意外覆盖
  • 配置分散mcp_config.json 与代码逻辑分离,增加部署复杂度

适合人群

  • 构建 Claude Code 扩展的开发者
  • 需要多工具链编排的 AI Agent 架构师
  • 追求跨设备一致性的生产力工具用户

常规风险

  • Token 泄露:配置文件中明文存储 GITHUB_TOKEN 等敏感信息
  • 任意代码执行:MCP 服务器通过子进程启动,需审查 command 来源
  • 存储容量限制:localStorage 通常仅 5MB,大数据需显式切换 IndexedDB

安全解读

核心用法

OpenClaw Claude Code Skill 是专为 Claude Code 设计的 MCP(Model Context Protocol)集成库,提供三大核心能力:

1. MCP 服务器编排

  • 通过 initializeMcpSystem() 启动配置中的所有 MCP 服务器(文件系统、GitHub 等)
  • 动态增删服务器:addMcpServer() / removeMcpServer() / pauseMcpServer()
  • 统一工具调用接口 executeMcpAction(),支持 JSON-RPC 2.0 协议通信

2. 状态持久化

  • 基于 Zustand 的 createPersistStore(),支持 IndexedDB 与 localStorage 双后端
  • 自动 hydration 检测(_hasHydrated 标志),避免服务端渲染不匹配
  • 适合保存用户偏好、会话历史等需要跨页面保留的状态

3. 会话同步

  • 提供三种合并策略:mergeSessions()(数组合并)、mergeWithUpdate()(时间戳冲突解决)、mergeKeyValueStore()(KV 存储合并)
  • 支持本地与远程会话的智能同步,适合多设备工作流

显著优点

  • 官方 SDK 封装:基于 @modelcontextprotocol/sdk,子进程管理规范,无直接命令注入风险
  • 类型安全完整:TypeScript 编写,API 签名清晰,配置结构有 Zod 校验
  • 依赖可信:zustand、idb-keyval、zod 均为成熟开源库,无 typosquatting 风险
  • 轻量无侵入:仅 975 行代码,不捆绑多余运行时

潜在缺点与局限性

  • T3 来源可信度:维护者为个人开发者(enderfga),GitHub 仓库较新,供应链风险需持续关注
  • 配置路径未校验setConfigPath() 接受任意路径字符串,存在路径遍历潜在风险(安全报告已标注)
  • 环境变量全量传递process.env 过滤后传递给子进程,建议显式排除敏感密钥(如 ANTHROPIC_API_KEY)
  • 无内置命令白名单:MCP 服务器命令依赖配置文件可信,恶意篡改配置可导致任意代码执行

适合人群

  • 使用 Claude Code 需要扩展工具能力的开发者
  • 需要跨设备同步会话状态的高级用户
  • 构建基于 MCP 协议的 AI 代理系统的工程师

常规风险

  • 供应链风险:个人维护项目,建议锁定版本并审查更新
  • 配置注入:确保 mcp_config.json 来源可信,避免被替换为恶意命令
  • 隐私合规:IndexedDB/localStorage 数据存储于浏览器本地,无加密机制,敏感数据需谨慎

安全认证结论

CLS-Certify 综合评分 80/100,等级 S(优秀)。静态分析无危险函数,动态行为评分 80,依赖审计 90,隐私合规 75。主要改进建议:增加配置路径校验、子进程命令白名单、敏感环境变量过滤。

mcpclaude-codestate-persistencesession-synczustandindexeddbtool-orchestration

Claude Code Agent 内容

examples文件夹
src文件夹
mcp文件夹
store文件夹
手动下载zip · 15.9 kB
basic-mcp.tstext/plain
请选择文件