Back to skill
Skillv1.0.0
ClawScan security
「自己」微信画像分析 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 3, 2026, 4:01 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能总体上实现了本地微信解密与画像,但存在多处不一致和越界(未声明的外部依赖/API Key、硬编码用户路径、定时脚本会写入/调度全局 workspace、以及无校验地克隆外部仓库),需要用户在信任前进一步审查。
- Guidance
- 要不要安装/运行这个 Skill 前请先做以下几件事: 1) 仔细审查 wechat-decrypt 仓库(https://github.com/ylytdeng/wechat-decrypt.git)是否可信:检查 release、commit 历史、issues 和安装脚本,最好在隔离环境(虚拟机)中先运行。不要直接在主机以管理员权限运行来自未经验证来源的 setup.py。 2) 注意三层记忆会将微信摘要写入并同步到 ~/.openclaw/workspace/MEMORY.md 和 HEARTBEAT.md,并建议安装 cron 任务:这会把你的私人画像注入到 OpenClaw 全局记忆,可能被其他 agent 读取或被外部向量服务处理。确认你是否愿意将这些敏感摘要放进 agent 的全局工作区与(可能的)向量数据库。 3) 确认是否需要向外部服务提交数据:three-layer-memory 要求 LanceDB Pro / memory-lancedb-pro 与 Jina API Key。如果你不打算使用这些服务,不要配置相关插件或 API Key,或在代码/脚本中移除相关集成点。 4) 修正硬编码路径与权限问题:代码中含有多个用户/Windows 特定的硬编码路径(例如 C:\Users\12084、C:\wechat-decrypt、~/.openclaw/...),在运行前应修改为你的路径或使路径可配置;避免直接使用他人环境路径。 5) 不要盲目添加 cron/定时任务:如果要长期自动化,请先在受控环境验证脚本行为并去掉/审计会触发 agent 的写 HEARTBEAT/触发任务的部分。 6) 如果无法验证作者与仓库可信度,建议在断网或受限网络环境(离线 VM)中完成解密/分析,或仅在本地手动运行分析脚本并阻止任何向量/外部 API 调用。 总体建议:此 skill 功能与描述大致匹配,但包含未声明的外部依赖、硬编码路径和自动化排程,存在隐私与持久化风险;在充分审查和做出配置/隔离措施前,不建议在主机上以管理员权限直接运行其 setup/cron/install 步骤。
- Findings
[unicode-control-chars] unexpected: SKILL.md 中检测到 Unicode 控制字符的注入类模式,提示可能存在恶意或混淆文本以尝试影响评估或运行时解析;在正常的 README/SKILL 文档中不应出现隐藏控制字符,应核查原始文件无被篡改的痕迹。
Review Dimensions
- Purpose & Capability
- note声称是“本地微信数据库解密并生成画像”,代码确实包含解密/分析/同步逻辑,路径与功能基本对齐。但包内的 three-layer-memory 文档与脚本还要求 LanceDB Pro、memory-lancedb-pro 插件和 Jina API Key,这些外部服务/密钥并未在 skill 元数据中声明,且超出了单纯“微信画像”所必须的范畴。
- Instruction Scope
- concernSKILL.md 与脚本指示不仅解密并分析微信数据,还把结果写入 OpenClaw 全局 workspace(~/.openclaw/workspace/MEMORY.md / HEARTBEAT.md),并通过 micro-sync/daily/weekly 脚本将“记忆”自动同步与排程。这意味着技能会把用户微信摘要注入到 agent 的全局记忆工作区,扩展了原始声明的本地分析边界。SKILL.md 还包含管理员权限与读取进程内存的说明(wechat-decrypt 行为),这具有高权限作用域。
- Install Mechanism
- concern虽然仓库 metadata 标称“无安装 spec”,但 analyzer/setup.py 会用 git clone 拉取 https://github.com/ylytdeng/wechat-decrypt.git 并尝试 pip install 依赖:这是隐含的下载/安装步骤。clone 没有校验签名或哈希,pip 命令在本地执行,属于中等到较高风险(从外部源下载并执行代码)。
- Credentials
- concernskill 元数据声明无需环境变量或凭据,然而 three-layer-memory 的文档明确要求 memory-lancedb-pro 插件和 Jina API Key(embedding/ rerank),且脚本提到 LanceDB Pro 集成。这些外部凭据/第三方服务并未在元数据中列出或提示用户,可能导致未经充分说明的数据外发或上传向量嵌入。
- Persistence & Privilege
- concern包含将脚本复制到 ~/.openclaw/shared 并通过 crontab 安装定时任务的说明(micro-sync/daily-wrapup/weekly-compound)。这些排程会定期运行、读取 workspace 并写 HEARTBEAT/MEMORY.md,从而为长期/自动化访问 agent 全局记忆创造入口。setup 步骤还要求以管理员运行 PowerShell(读取进程内存),增加权限边界。skill 没有 always:true,但其脚本会显著增加持久化和特权访问面。