Back to skill
Skillv1.2.3
ClawScan security
龙虾安全卫士 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 11, 2026, 2:03 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能声明的功能、所需权限和运行逻辑在总体上与其“静态扫描/技能审计”目的相符;所请求的文件/网络访问均有合理说明,未发现与描述不符的额外外部通信或隐蔽持久化行为。
- Guidance
- 这个技能看起来是为静态审计设计的,所需的文件与网络权限与它的目的相符,但请在安装/运行前注意: - 审查 scan.sh(包内已有脚本),确保您信任作者;脚本会读取 ~/.openclaw/skills,该目录可能包含其他技能的密钥或凭据。若不希望泄露这些数据,请不要在含敏感凭据的主机上运行。 - 尽量在隔离环境(容器/虚拟机)或非 root 账户中运行,并在运行前备份重要文件。 - 默认会访问 GitHub(api.github.com)并克隆公开仓库到 /tmp;这对在线扫描是必要但请注意磁盘写入。脚本会在退出时清理 /tmp,但请确认其行为符合您的风险策略。 - 注意 OPENCLAW_NONINTERACTIVE=true 会跳过确认提示,慎用该变量以避免意外读取。 - 扫描结果基于启发式规则(grep/简单模式匹配),可能有误报或漏报;请将自动扫描作为第一步,并结合人工代码审查和更深入工具(例如专用静态分析器)使用。 总体:功能一致且可解释,若您接受读取本地 skills 目录的风险并在隔离环境中运行,可考虑安装;若担心敏感数据暴露,先在隔离环境或测试机器上运行并手动审查脚本。
Review Dimensions
- Purpose & Capability
- ok技能旨在对已安装或 GitHub 上的 Skills 做静态审计。它声明并实现了读取 ~/.openclaw/skills、访问 GitHub API、临时克隆仓库到 /tmp 以及使用 curl/jq/git/grep/find 进行分析——这些都是静态扫描所需且合理的能力。没有请求不相关的云凭据或额外服务。
- Instruction Scope
- noteSKILL.md 与 scan.sh 明确说明会读取本地 Skills 目录并克隆第三方仓库到 /tmp,执行基于文本的模式搜索(grep/jq等)。脚本声称仅进行静态分析并不会执行被扫描代码,这与源码中看到的行为一致。不过静态扫描本身会读取可能包含敏感信息的文件(例如其他 Skill 中的密钥),脚本也会在非交互模式下跳过确认(依赖 OPENCLAW_NONINTERACTIVE),这些点已在说明中提示。
- Install Mechanism
- ok无安装脚本/远程二进制下载,仓内仅包含 scan.sh 与元数据。没有从不可信 URL 下载并执行代码的高风险安装步骤,风险属于最低类别(instruction-only + included script)。
- Credentials
- note技能不要求任何外部凭据或秘密,仅声明需要访问 GitHub (api.github.com/github.com) 以及本地路径 ~/.openclaw/skills、~/.openclaw/workspace/skills 和 /tmp。读取这些本地路径会暴露潜在敏感信息,且这是实现静态审计所必需,因此属于必要但高敏感度权限;skill.yaml/README 已明确说明并建议在隔离环境运行。
- Persistence & Privilege
- ok技能未请求常驻(always)权限或修改其他技能/系统配置。默认允许模型调用(平台默认),但这与技能用途一致且未扩大权限边界。