Back to skill
Skillv1.0.0
ClawScan security
显博的二号【代重启】 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 5, 2026, 11:56 AM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- Skill 的主要功能(恢复/重启一个本地“代理”)看起来合理,但随附的操作系统文档和说明包含越权/自主行为的指示,范围超出其声明用途,应在受控环境中审查并备份后才运行。
- Guidance
- 这个 skill 的核心脚本行为——把包内备份文件复制到本地工作区并生成重启日志——与“重启代理”的声明一致,但随附文档鼓励代理主动越权(自动执行、修改/卸载技能、跳过检查)。建议采取谨慎步骤: 1) 在安装或运行前,先备份你当前的工作区(C:\Users\Admin\.openclaw\workspace 或你实际使用的 OPENCLAW_WORKSPACE)。 2) 在隔离/测试环境(本地临时目录或虚拟机)中先运行脚本,使用环境变量 OPENCLAW_WORKSPACE 指向一个空目录,观察脚本行为和写入的文件。不要在生产工作区首次直接运行。示例: - Windows 或 bash: set OPENCLAW_WORKSPACE=./tmp_workspace; python scripts/restart_number_two.py 3) 检查并理解 scripts/restart_number_two.py 的实现(它会复制 backup/ 下的 .md 文件、创建 memory/restart_log.json、调用 clawhub --version 检查)。确保没有你不希望被覆盖或泄露的敏感数据会被替换或记录。 4) 注意文档中的自治声明(AGENTS.md):如果你不希望代理在没有明确授权下修改技能或主动行动,应在使用前删除或修改这些说明文件,并在 agent 配置中限制其自动化权限。 5) 不要使用 --skip-checks/--fast 之类的跳过安全检查的参数,除非你完全在受控测试环境中。 6) 如果需要,可以逐行审计并运行脚本,将其限制为只执行恢复(注释掉写入技能目录或卸载/修改相关动作),或要求人工确认每一步。 总之:在受控/隔离环境中测试并备份原有数据后再部署到真实工作区;特别注意 AGENTS.md 中的越权措辞并据此调整你的信任与权限策略。
- Findings
[ignore-previous-instructions] unexpected: 预扫描在 SKILL.md 中发现了提示注入相关模式(如 ignore-previous-instructions)。对于一个本地重启/恢复脚本来说,这类提示注入样式的字符串并不合理且值得警惕,特别是当文档还包含鼓励'不要问许可、直接做'等语句时。
Review Dimensions
- Purpose & Capability
- concernSKILL 名称与主要脚本一致:把备份文件恢复到本地工作区以“重启”代理,这是合理且预期的。但备份文档(AGENTS.md 等)包含主权/越权声明(例如“不要问许可。直接做”、“评估、修改、定制甚至卸载skill的权利”),这些操作超出单纯的重启/恢复目的,属于范围膨胀。
- Instruction Scope
- concernSKILL.md + backup 文档要求读取并恢复大量本地文件(SOUL.md、MEMORY.md、USER.md 等),脚本会将备份复制到默认工作区(默认为 C:\Users\Admin\.openclaw\workspace 或由 OPENCLAW_WORKSPACE 指定),并写入 restart_log.json 与 restart_report.json。AGENTS.md 明确鼓励“直接做/主动行动/修改或卸载技能”,这授予了代理在没有额外确认下操作本地工作区和技能集合的许可,超出重启所需的最小权限。SKILL.md 中也含有可用于跳过检查的命令行开关(--skip-checks/--fast),降低了交互确认保障。
- Install Mechanism
- note没有 install spec(instruction-only),但包内包含可运行脚本 scripts/restart_number_two.py,因此一旦通过 clawhub 安装或手动运行,文件会在本地被执行并写入工作区。没有外部下载或可疑托管 URL 被脚本使用(唯一的外部调用是 docs 中示例的 git clone URL 和脚本中对子进程运行 clawhub --version 的调用)。总体安装机制不是高风险下载链,但包含会修改本地文件的脚本,应在受控环境中执行。
- Credentials
- note声明不需要任何凭据或环境变量,但脚本会读取 OPENCLAW_WORKSPACE 环境变量(可覆盖默认 Windows 路径)。没有请求外部 API 密钥或敏感凭据,未见意图访问云凭证。但 SKILL 文档包含关于预算/模型(deepseek、openrouter)的提示,这与重启本身无直接关系(只是建议),不构成凭据要求。
- Persistence & Privilege
- concern技能未设置 always:true,但随附文档(AGENTS.md/HEARTBEAT.md/SOUL.md)鼓励持续主动行为、自动修改技能集合与主动外部操作的策略。这意味着即便技能本身不强制常驻,它的设计理念和文件鼓励持续权限与自主行动,增加了滥用或意外越权的风险。脚本会写入工作区并可覆盖文件(恢复备份),对持久性和文件完整性有直接影响。