Back to skill
Skillv3.1.3
ClawScan security
openclaw-skill-manager · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 17, 2026, 8:21 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 总体与“技能管理器”描述一致,但说明文档中要求执行未经声明的本地命令(curl | tar 提取、重启 gateway、修改配置)且没有列出所需二进制,这些不一致与下载并解压远程档案相关的风险需要用户注意。
- Guidance
- 这个技能看起来确实是用来管理 OpenClaw 技能空间和安装流程的,但在决定安装/使用前请注意: - SKILL.md 会修改 ~/.openclaw/openclaw.json 并重启 gateway — 这会影响你的 agent 运行环境;在继续前请备份该文件并确认你愿意接受重启。 - 手动安装流程允许从任意 URL 下载并直接用 tar 解包(curl | tar -xz),没有提供完整性校验(如 SHA256 或签名)。尽量使用受信任来源(clawhub)优先,避免从不明/未经验证的 URL 安装技能。 - 元数据没有声明需要的本地工具。确保你的环境中有 openclaw、clawhub(可选)、curl、tar、jq、grep、sed、awk 等工具;如果这些工具缺失,SKILL.md 的步骤会失败或产生意外行为。 - 没有请求任何环境凭据,这一点是好的;但技能会读写用户配置目录并可能创建目录/文件 — 请确认路径和权限。 建议措施: 1) 若来源未知或不可信:不要直接运行自动化安装命令,改为手动下载并人工审查 SKILL.md 与技能包内容。 2) 要求作者/发布者在元数据中补充必需的二进制依赖和对下载来源的完整性校验说明(签名或哈希)。 3) 备份 ~/.openclaw/openclaw.json 与相关 workspace,在测试环境中先运行安装流程验证无异常再在生产环境使用。 如果你想让我进一步降低不确定性,请提供:技能将要安装的实际 clawhub 包或目标 URL 的示例,我可以检查那些包/URL 是否包含可执行脚本或可疑行为。
- Findings
[no_regex_findings_instruction_only] expected: 静态正则扫描没有发现代码文件或可分析内容 —— 这是预期结果,因为这是一个 instruction-only 技能(只有 SKILL.md 和测试提示)。静态扫描因此无法检测到运行时命令的具体安全性。
Review Dimensions
- Purpose & Capability
- note名称和描述与 SKILL.md 中的行为(列出/安装/管理技能、修改 ~/.openclaw/openclaw.json、重启 gateway、在多空间间安装)总体一致. 但 SKILL.md 依赖多个本地工具(openclaw, clawhub, curl, tar, jq, grep, sed, awk 等)而 registry metadata lists no required binaries — 这是不一致(声明缺失),应在元数据中列出这些依赖。
- Instruction Scope
- note运行时指令留在技能管理的范围(读取/写入 openclaw 配置、列出/安装技能、扫描技能目录)。值得注意的是:手动安装路径支持使用任意 URL,然后执行 curl -L "<source>" | tar -xz -C "<target>"(或等价下载并解压),且文档没有要求进行校验(签名或哈希)。此外指令将修改用户配置文件并重启 gateway — 这是需要用户授权的高影响操作,但符合管理器功能。
- Install Mechanism
- ok这是一个 instruction-only 技能(没有 install spec,也没有代码文件),因此不会在安装阶段写入额外二进制。低级别的安装风险来自 SKILL.md 中建议执行的命令(如 curl|tar 的手动安装流程),而非安装器本身。
- Credentials
- ok没有要求环境变量或凭据,且指令没有读取除 openclaw 配置文件(~/.openclaw/openclaw.json)以外的敏感系统凭据。需求与技能目的相称。
- Persistence & Privilege
- okflags show always:false,技能不是强制常驻。SKILL.md 会修改自身平台配置(添加 extraDirs 到 ~/.openclaw/openclaw.json)并重启 gateway,这属于该技能的管理范围且与其目的相符 — 但这些都是高影响操作,用户应确认后授权。