ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Setup Multi Gateway

v1.2.0

配置多个独立OpenClaw网关实例,支持独立Agent、工作区和机器人,以及跨Agent通信和多端口管理。

0· 159·0 current·0 all-time
by@pikaqiuyaya
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
Purpose & Capability
技能名/描述与多数行为一致:创建/复制 OpenClaw 配置、检测端口、创建 systemd 服务、管理 workspace 等都符合“多网关配置”目的。但代码中包含一个硬编码 API_KEY(sk-sp-...),这与文档中未提及的远端服务/凭据无关,显得不成比例且不透明。
!
Instruction Scope
SKILL.md 指导执行系统检查、systemctl 操作、配置文件读写、端口检测、日志查看等,这与部署向导相符。代码实际通过 execSync 运行大量 shell 命令、读取 ~/.openclaw 下的配置和 systemd 环境变量、使用 curl 查询公网 IP 等,说明会访问本地敏感配置与网络。SKILL.md 没有声明会访问外部 API 或携带密钥,但代码隐藏了一个静态密钥,存在越界数据传输或外联的风险。
Install Mechanism
没有 install spec(仅随技能包含脚本文件 mg-wizard.cjs)。没有从外部 URL 下载或安装二进制包,静态分发源码比直接拉取远程归档风险更低。
!
Credentials
元数据声明无需任何环境变量或凭据,但源码中包含硬编码 API_KEY,且脚本读取 systemd 单元的 OPENCLAW_CONFIG_PATH、~/.openclaw 下的多个配置文件并可能写入/删除文件。请求/使用的权限(读写用户配置、创建/删除 systemd 服务、执行 rm -rf)比技能声明更高且未被解释。
Persistence & Privilege
技能没有设置 always:true,但脚本会创建/启用用户级 systemd 服务、写入配置和 workspace,并在失败时执行回滚(删除文件、停止/禁用服务)。这些都是部署类工具的典型权限;不过结合未说明的外部 API 密钥,持续性/特权操作应谨慎对待。
What to consider before installing
要点与建议: - 警告:mg-wizard.cjs 包含一个硬编码的 API_KEY(sk-sp-...)。代码中未在 README/SKILL.md 说明该密钥用途或目标主机,可能用于上报/远端调用或埋点。不要在生产系统直接运行该脚本。 - 在安装或运行前:打开并审计 mg-wizard.cjs,重点搜索 API_KEY 的使用位置(是否对外发请求、向哪个域名或 IP 发送数据);搜索所有 execSync/ curl/网络相关调用。 - 运行建议:在隔离环境(临时 VM 或容器)里先做一次“干运行”(或手动跟踪),并备份 ~/.openclaw 及相关配置。不要以 root 运行;优先在非生产机器验证。 - 如果你需要此功能但不信任此脚本:联系作者/发布者询问 API_KEY 的用途;或者移除或替换硬编码密钥并加入明确的远端终端允许白名单后再运行。 - 其它注意事项:由于脚本会创建/删除 user-level systemd 服务和工作区,检查将被创建的 service 文件内容和路径;确认脚本不会误删非目标目录(注意 rm -rf 调用)。 - 总结:功能与描述大体匹配,但硬编码密钥与未声明的外联能力是不成比例的风险,建议先审计/移除可疑密钥并在隔离环境中验证再部署。
mg-wizard.cjs:53
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk9744bvxvpjj5bvkatybda6wn98385n7

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments