Superpouvoirs d'OpenClaw : Une bibliothèque de 31 compétences pour résoudre les problèmes de sécurité, de coût et de fiabilité.

Qu'est-ce qu'openclaw-superpowers ?

Un développeur a construit et publié openclaw-superpowers, une bibliothèque de 31 compétences prêtes à l'emploi pour OpenClaw conçue pour résoudre les principaux points sensibles de la communauté. Les compétences sont open source et installables avec une seule commande.

Installation

Le processus d'installation est géré par un script :

git clone https://github.com/ArchieIndian/openclaw-superpowers ~/.openclaw/extensions/superpowers
cd ~/.openclaw/extensions/superpowers && ./install.sh
openclaw gateway restart

Le script install.sh gère les répertoires d'état et l'enregistrement des tâches cron.

Compétences et fonctionnalités clés

Sécurité

• prompt-injection-guard : Analyse le contenu externe en temps d'exécution pour 6 types de signaux d'injection et bloque après 2+ détections. Cela répond à la constatation que 36 % des compétences ClawHub contiennent des charges utiles d'injection intégrées, et que le conseil existant "vérifier avant d'installer" ne détecte que la moitié de la surface d'attaque.
• dangerous-action-guard : Ajoute une étape de validation humaine pour les actions irréversibles comme les force-push git, la suppression de fichiers, l'envoi d'e-mails et les écritures d'API. La recherche indique que cela augmente le taux de défense d'OpenClaw contre les scénarios adverses de 17 % à 92 %. Il inclut une fenêtre d'expiration de 5 minutes pour les approbations et une piste d'audit complète.
• workspace-integrity-guardian : Hache les fichiers d'identité critiques (SOUL.md, AGENTS.md, MEMORY.md) lors de la première exécution et les vérifie chaque semaine. Si un fichier comme SOUL.md est entièrement remplacé, il fournit un diff et une restauration en une commande. Cela protège contre les écrasements silencieux par l'agent ou une mauvaise compétence.

Gestion des coûts

• spend-circuit-breaker : Définit un plafond de budget mensuel (par exemple, python3 check.py --set-budget 50), envoie des alertes à 50 % et 75 %, et à 100 % met automatiquement en pause toutes les automatisations cron non essentielles. Il lit les journaux JSONL de session pour estimer les dépenses à partir des comptes de jetons réels, en suivant les dollars distinctement des jetons.
• cron-hygiene : S'exécute chaque semaine pour signaler les tâches cron coûteuses. Il identifie la différence de coût entre les tâches cron s'exécutant en mode session principale (qui renvoie l'historique complet des conversations) et en mode isolé, notant une différence de coût d'environ 10x pour une tâche cron toutes les 15 minutes.

Fiabilité

• loop-circuit-breaker : Suit les signatures normalisées (outil, arguments, erreur) par session et se déclenche après 2 échecs identiques (code de sortie 2), empêchant les tentatives de réessai indéfinies sur des erreurs comme un appel read({}) sans chemin. Cela arrête le drainage silencieux du contexte.
• workspace-integrity-guardian couvre également la fiabilité en détectant si une compétence corrompt un fichier de configuration lors d'une mauvaise exécution.

Expérience développeur (DX)

• channel-context-bridge : Écrit une "carte de résumé" compacte à la fin de la session (sur quoi on travaillait, décisions clés, actions suivantes). Les nouvelles sessions vérifient la présence d'une carte récente et l'injectent comme amorce, permettant à l'utilisateur de continuer à parler de manière transparente lors du changement de canal (par exemple, de Telegram à un ordinateur portable).
• project-onboarding : Explore une nouvelle base de code pour détecter la pile technique, les commandes de construction, le framework de test, la configuration CI et les répertoires clés. Il génère un modèle PROJECT.md pour validation, que l'agent charge ensuite automatiquement lors des sessions futures dans ce répertoire, empêchant les conventions hallucinées.
• multi-agent-coordinator : Pour les utilisateurs exécutant 3+ agents en parallèle, cette compétence réside dans l'agent orchestrateur et suit le dernier horodatage vu de chaque sous-agent. Il détecte les timeouts et signale les sorties parallèles contradictoires avant la fusion.
• fact-check-before-trust : Note chaque affirmation factuelle faite par l'agent (confiance Élevée/Moyenne/Faible), récupère celles à faible confiance et expose les contradictions avant la fin. Cela complète verification-before-completion, qui vérifie si l'agent a effectué la tâche, en vérifiant si ce que l'agent a dit est vrai.

La bibliothèque a été développée sur la base de retours directs de fils de discussion Reddit et de problèmes GitHub, ciblant des problèmes comme les coûts d'API incontrôlés, les agents exécutant des actions destructrices sans demander, la perte de contexte lors du changement de canal, et SOUL.md étant silencieusement altéré en milieu de session.