Back to skill
Skillv1.0.0
ClawScan security
Claude-Code引擎赋能OpenClaw · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 29, 2026, 4:23 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能描述与目标大体一致,但运行指令要求在 /root 下写文件、修改 root 的 crontab、全局 pip 安装并执行任意 shell 命令,权限和持久化行为超出声明范围,存在滥用/数据泄露风险。
- Guidance
- 本技能的功能说明与实现总体一致,但实现细节会对主机造成持久性和敏感数据访问风险。安装前请: - 不要在生产机器或以 root 身份直接执行这些脚本;优先在隔离的沙箱/容器/虚拟机中测试。 - 逐行审阅 SKILL.md 中将写入的脚本(/root/.openclaw/...)并确认没有隐藏/恶意命令。 - 使用虚拟环境(venv)或容器来安装 Python 依赖,避免全局 pip 安装污染系统环境。 - 检查并清理 OpenClaw 的“记忆”目录中可能的凭据或敏感文件,因向量检索脚本会把这些内容持久化到向量数据库并可能被查询。 - 考虑将 cron 任务改为仅在非特权用户目录下运行,或由受控调度器触发,而不是修改 root 的 crontab。 - 要求作者说明为何需要对 /root 的写入权限、全局包安装和定期自我反思的 cron 权限,以及是否有更低权限的替代方案。 如果你无法验证上述点或无法在安全环境中测试,建议不要安装或启用此技能。
Review Dimensions
- Purpose & Capability
- note技能目标(并发子代理、自我反思、向量检索、上下文压缩)与 SKILL.md 中的实现指令一致,但元数据未声明对系统 Python/pip、crontab、或对 /root 路径的需要。宣称无所需二进制/环境变量不符合文档实际要求。
- Instruction Scope
- concern指令会在 /root/.openclaw 下创建脚本和向量库、将所有记忆文件加载到向量数据库、添加 root 的 crontab 条目、并含有使用 subprocess.run(shell=True)/执行任意 bash 命令的示例。这些操作能读取/写入敏感本地数据并执行任意 shell 命令,范围超出单纯“代理升级”的合理边界。
- Install Mechanism
- concern虽然技能没有 install spec,但文本指示直接运行 pip install chromadb sentence-transformers(全局安装),并在运行时下载模型(all-MiniLM-L6-v2)。全局包安装和模型下载会修改系统 Python 环境并依赖外部网络,带来中等风险。
- Credentials
- concern元数据不要求任何凭据或环境变量,但指令操作需要访问系统路径(/root)、crontab 和本地记忆文件。这会使技能能够访问在 OpenClaw 记忆中或系统上存在的敏感信息(凭证、私密文档),且没有以任何方式声明或限制该访问。
- Persistence & Privilege
- concern指令会向 root 的 crontab 添加每6小时执行的自我反思脚本,并在 /root 下写入脚本和向量数据库,从而实现持久存在。技能元数据没有声明需要持久化权限或根级别访问,这与行为不一致并提高了滥用风险。