Skillv2.1.0

ClawScan security

Triple Layer Memory · ClawHub's context-aware review of the artifact, metadata, and declared behavior.

Scanner verdict

SuspiciousMar 7, 2026, 6:01 PM

Verdict: suspicious
Confidence: medium
Model: gpt-5-mini
Summary: 该 skill 的实现大体与“记忆管理”声明一致，但元数据低估了它对本地配置与工作区文件的访问（未声明的配置路径/修改建议），以及文档中包含可能导致不必要权限泄露的 GitHub 上传建议，用户在安装前应审查并备份相关文件。
Guidance: 这是一个功能齐全且与其“记忆管理”声明相符的本地工具包，但在安装前请注意：1) 它会在你的 workspace 下创建和修改文件（MEMORY.md、memory/*.md、heartbeat-state.json 等），会长期保存对话摘要和元数据；2) 若按说明启用自动化，需要你手动编辑 AGENTS.md / HEARTBEAT.md / （可选）~/.openclaw/extensions/openclaw-mem0/index.ts，这会改变 agent 启动/检索行为——请先备份这些文件；3) scripts/memory_consistency.py 会读取 ~/.openclaw/openclaw.json（未在元数据中声明），该配置可能包含敏感信息，建议先人工检查该脚本的实现并备份 openclaw.json；4) docs 中包含将仓库推到 GitHub 的流程，且建议生成具有 repo 权限的 Personal Access Token ——仅在你理解并接受 GitHub 权限范围时才执行，优先使用最小权限或 SSH；5) 建议先在隔离或测试 workspace 中运行 init.sh 并审阅所有脚本（尤其写文件/修改配置的部分），确认行为符合你的策略，再在生产环境启用自动心跳/自动写入功能。

Review Dimensions

Purpose & Capability: okSkill 名称/描述与代码和运行时说明一致：脚本实现了三层记忆（会话压缩、文件层存储、衰减/归档、频道隔离），并提供自动/手动 API（Python 函数和 CLI）。没有要求与记忆管理无关的网络服务或云凭据，功能与目的相符。
Instruction Scope: noteSKILL.md 指示创建/写入 workspace 下大量文件（MEMORY.md、memory/*.md、heartbeat-state.json 等），修改 AGENTS.md、HEARTBEAT.md 以实现自动化，并建议修改 ~/.openclaw/extensions/openclaw-mem0/index.ts 以实现频道隔离。读取/写入本地配置和记忆文件是实现目标所需，但注意：它会读取用户主目录下的 ~/.openclaw/openclaw.json（scripts/memory_consistency.py），并建议将上传到 GitHub 的流程（docs/github-upload-guide.md）使用高权限的 Personal Access Token；这些都扩大了操作范围，需用户同意与审查。
Install Mechanism: okRegistry 中无 install spec；代码文件随 skill 一并提供，init.sh 用于在本地 workspace 中创建文件。没有通过可疑远程下载或提权安装步骤，风险相对较低。
Credentials: concern元数据申明没有要求任何配置路径或环境变量，但脚本会读取 ~/.openclaw/openclaw.json、并建议编辑 ~/.openclaw/extensions/openclaw-mem0/index.ts；这是与注册元数据不一致的行为。虽然读取 openclaw.json 主要用于检查频道 ID（memory_consistency.py）并非直接窃取凭据，但该配置文件可能包含其它敏感绑定；SKILL.md/脚本没有在元数据中声明对这些路径的需求，存在透明性问题。
Persistence & Privilege: noteSkill 本身不强制总是启用（always:false），也没有要求平台级权限。但文档鼓励修改 AGENTS.md、HEARTBEAT.md 以及 Mem0 插件以实现自动加载/隔离，这会使其长期影响 agent 启动与心跳流程。用户若按文档操作，会为该 skill 建立持续自动化行为，应在知情下允许。