Back to skill
Skillv2.0.3
ClawScan security
Use OpenClaw Manual · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 23, 2026, 3:53 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个技能说明、脚本和运行时要求在功能上是一致的:它从官方 GitHub 仓库同步并搜索本地 OpenClaw 文档,未请求与功能无关的凭据或远端后门。
- Guidance
- 该技能总体自洽且功能合理,但在安装/使用前请注意: - 脚本会从 GitHub 克隆并把文档写入本地(默认 ~/.openclaw/workspace/docs/openclaw_manual),请确保有足够磁盘空间并接受写入该目录。 - 搜索和操作会记录到 usage.log(技能目录),其中包括搜索关键词和命令结果;如不希望保留记录,可在运行时设置 DISABLE_USAGE_LOG=true 或手动删除/审查 usage.log。 - 如果不想让技能向外发送通知,把 DOC_NOTIFY_CHANNEL 设为 none 或在没有 openclaw CLI 的环境下不启用通知;发送通知时会使用本地 openclaw CLI(仅发送摘要,不包含具体文件内容)。 - 为避免 GitHub API 限流,可提供 GITHUB_TOKEN(可选);没有 token 时脚本仍能通过 git 克隆仓库。 - 技能说明包含用于定位安装目录的 find ~ 命令;这会枚举用户主目录下的路径——如果不希望这么做,请手动指定技能安装路径或在安全上下文运行这些查找命令。 按上述建议操作且在第一次运行前审阅脚本内容,能够降低隐私和误操作风险。
Review Dimensions
- Purpose & Capability
- ok技能名、描述和脚本一致:主要工作是从 openclaw/openclaw 仓库同步 docs 并在本地搜索文档。要求的工具(git, curl, python3)和可选 env(GITHUB_TOKEN, OPENCLAW_MANUAL_PATH, DOC_NOTIFY_CHANNEL)与该目的相符。
- Instruction Scope
- note运行说明要求切换到技能目录并运行脚本来初始化、同步和搜索本地文档,范围基本限于 ~/.openclaw/workspace/docs/openclaw_manual 和技能目录;不过说明中建议用 find ~ 来定位技能安装位置(这会扫描用户 Home 下的文件名),脚本会把用户的搜索查询和操作记录到 usage.log(默认在技能目录),这些都是需要用户知晓的本地行为。
- Install Mechanism
- ok无 install spec(instruction-only),脚本随技能一起提供;同步从 GitHub 官方仓库克隆/稀疏检出并复制到本地,使用的是标准 git/curl 调用,没有可疑第三方下载或短链。
- Credentials
- note所需/可选环境变量(OPENCLAW_MANUAL_PATH, LAST_COMMIT_FILE, DOC_UPDATE_LOG, DOC_NOTIFY_CHANNEL, GITHUB_TOKEN)都与同步/通知/存储相关且可选。值得注意:GITHUB_TOKEN 用于通过 GitHub API 认证(提高速率限制),DOC_NOTIFY_CHANNEL 会触发通过 openclaw CLI 发送通知(如果 openclaw 可用且渠道配置不为 none),usage.log 会存储搜索关键词和调用元数据;这些是功能性需要但有隐私考虑。
- Persistence & Privilege
- ok技能不会要求平台级的持久化权限(always=false),也不修改其他技能或全局 agent 配置。它将写入/管理自己的文档目录和若干本地元数据文件(.last-docs-commit, docs-update.log, usage.log),这种行为与其用途一致。