ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

OpenClaw 升级前影响评估工具

v1.0.1

深度分析 OpenClaw 版本更新对现有配置的影响,生成兼容性报告并精准备份受影响文件。Invoke when user asks to analyze OpenClaw updates, check upgrade compatibility, or backup configs before upgrading.

0· 62·0 current·0 all-time
by@adgai115
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
名称/描述、SKILL.md 和 index.js 功能一致:获取 GitHub Release、扫描工作区配置、评估影响、生成报告并在工作区创建备份。所依赖的包(node-fetch、fs-extra、semver)与这些行为相匹配。_meta.json 中列出的权限(file_read, file_write, web_fetch, exec)也与实现和使用示例相符。
Instruction Scope
运行时说明仅要求读取/扫描工作区文件、访问 GitHub API 以获取 release、生成报告并在工作区写入备份清单。index.js 实现也只执行这些动作;示例里展示的 openclaw.exec 调用是示例/集成用法而非内置自动升级。没有看到指令或代码会读取/发送与升级分析无关的凭据或外部服务(除了 GitHub API)。
Install Mechanism
注册表显示“无 install spec(instruction-only)”,但包包含完整的代码与 node_modules(即它并非纯文档型)。这不是必然恶意,但意味着安装会把这些文件写入运行环境;依赖来自 npm 注册表(node-fetch、fs-extra、semver),未见可疑下载 URL 或短链。
Credentials
不要求任何必需环境变量。index.js 可选读取 OPENCLAW_STATE_DIR(工作区目录覆盖)与可选的 GITHUB_TOKEN(用于提高 GitHub API 限额)——这两项与功能正相关且合理。没有看到对无关服务凭据或多余秘密的需求。
Persistence & Privilege
flags 显示 always: false。Skill 会在工作区内写入报告与备份目录,但不会修改其他 skills 或系统级配置。其权限范围(读写工作区、网络到 github.com、有限 exec)与实现一致。
Assessment
这个 skill 从实现、文档和元数据来看是自洽的,但在安装/运行前请注意: - 它需要读取并在当前工作区创建备份和报告,请在希望被扫描的目录中运行,或先设置 OPENCLAW_STATE_DIR 指向可控目录。备份会写入工作区的 ./backup(或配置的路径)。 - 可选的 GITHUB_TOKEN 会被使用以提高 GitHub API 限额;不要把其他敏感凭据放入环境。该 token 是可选的。 - 虽然依赖来自 npm 官方注册表,包里包含 node_modules;如有合规或审计要求,建议先在隔离环境(例如临时容器)中运行并审阅 index.js 与 SKILL.md。 - 注意示例中有使用 openclaw.exec 执行升级命令的片段:这是示例集成流程,不是该 skill 自动升级的一部分;若要自动执行升级请额外确认你的变更流程与变更审批。 总体上,若你信任作者/来源或愿意先在隔离环境复核代码,该 skill 符合其声明的用途。
index.js:24
Environment variable access combined with network send.
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk97fgmrgpxpjde67f5agf3ywfn83jmj7

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments