ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

openclaw-clawhome-cli

v1.0.1

将 OpenClaw 连接到 Clawhome 聊天平台,实现 AI 自动回复。

0· 92·0 current·0 all-time
byKevin Ji@shengguo
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Benign
medium confidence
Purpose & Capability
声称的目标是把 OpenClaw 连接到 Clawhome;cli.mjs 正在检查本地 openclaw、调用 openclaw plugins install/update、并重启 gateway,行为与目的匹配。注意小不一致:PLUG IN_SPEC = "openclaw-clawhome",CHANNEL_ID = "clawhome",package.json 包名为 openclaw-clawhome-cli,SKILL.md 中示例 help 使用了不同的 npm scope(@clawhome/...),这些是命名/文档问题但不改变功能。
Instruction Scope
SKILL.md 指导通过 npx 安装并通过 openclaw config 设置 channels.clawhome.channelId 和 channelSecret,然后重启 gateway。说明中也列出了默认 MQTT 地址(wss://www.clawhome.top/mqtt)和消息格式——这些都在通道插件上下文内合理。但用户应注意:安装后插件会与外部 MQTT Broker 通信并使用你提供的 channelSecret,签发/存储的密钥会被插件使用(不是由此技能直接读取环境变量)。
Install Mechanism
注册表条目没有 install spec(即技能本身为 instruction+代码包),但文档建议用 npx -y openclaw-clawhome-cli@latest install 来运行安装器:这会从 npm 拉取并执行远程包(常见但需要信任来源)。cli.mjs 本身并不下载不明 URL 或执行可疑网络请求——它仅调用本地 openclaw CLI。仍建议在运行 npx 前核实包发布者/主页和包内容。
Credentials
技能未声明需要任何环境变量或凭据。SKILL.md 指示用户通过 openclaw config 设置 channelId 和 channelSecret(这是合乎期待的方式),所以没有不必要的凭据请求。需要注意的是,channelSecret 是敏感信息,会被插件用于认证外部服务,因此应谨慎提供和存储。
Persistence & Privilege
技能没有 always: true,也不会在代理内强制常驻。它的作用是通过 openclaw CLI 在目标系统上安装/更新一个 OpenClaw 插件并重启 gateway —— 这是其合理范围,但会修改 OpenClaw 的运行时(预期行为)。
Assessment
简明建议: - 如果你要运行文档中的 npx 命令,请先确认 npm 包的发布者和仓库(确保不是未知或恶意来源)。 - 在运行安装器前,手动检查包内容或在受控环境中先测试;cli.mjs 本身只调用本地 openclaw 命令,没有明显的外部恶意请求,但 npx 会从网络下载并执行代码。 - 注意你将提供并存储的 channelSecret:这是对外部 MQTT Broker(wss://www.clawhome.top)的凭证,确保你信任该平台并尽量限制权限与有效期。 - 文档存在若干命名/示例不一致(npm scope、插件标识、help 文本),安装前确认要安装的插件名称(openclaw-clawhome vs clawhome 等)以及 openclaw plugins install/update 命令的正确参数。 - 若不确定来源,考虑手动在可信环境中通过 openclaw plugins install openclaw-clawhome 并手动配置,而不是直接运行 npx -y。
cli.mjs:18
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk97d9facrme69zx4ngf6wxksqh83g66r

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments