Back to skill
Skillv1.0.1
ClawScan security
openclaw-android · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 5, 2026, 11:02 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 功能与描述大体一致,但存在可导致敏感数据被记录的实现细节和运行环境假设不明确——应在安装前理解风险并确认运行时上下文。
- Guidance
- 这项技能基本实现了它所声称的 Android 控制功能,但在安装/使用前请注意: - 运行环境:脚本假设在 Android 设备上执行并可调用 su、am、pm、input、screencap 等命令;在普通桌面主机上直接执行会失败。确认你会把脚本放在设备上并从设备内运行,或确认代理环境确实是目标设备。 - Root 要求:脚本会无条件调用 su 并依赖 root;仅在你信任目标设备已被安全地 root 且接受此类操作时使用。root 权限可造成设备范围的更改(安装/卸载/清除应用数据)。 - 日志泄露风险:script 会把所有命令和参数写到 /sdcard/Download/openclaw_*.log,任何通过 text 参数传入的明文(例如密码)会被记录。不要通过该技能传输敏感凭据/密码,或修改脚本以避免记录敏感参数并将日志写入受限位置。 - 持久化痕迹:截图和日志会留在设备存储,使用后请清理这些文件以减少泄露风险。 - 源可信度:包的来源未知且无主页;若你打算在真实设备上使用,最好先在隔离环境或虚拟设备上审计并测试脚本,或将脚本改为仅在交互确认后执行高权限操作。 如果这些风险对你可以接受并你能保证脚本只在受控设备上运行,该技能功能上与描述一致;否则建议不要安装或要求作者提供可验证的来源与更严格的日志/权限控制。
Review Dimensions
- Purpose & Capability
- note名字/描述与提供的脚本行为一致:脚本使用 am/pm/input/screencap 等 Android 命令来启动/停止应用、模拟输入和截图,功能与声明匹配。不过文档断言“不需要 ADB,所有命令在手机内部执行”,但没有说明如何把脚本放到设备上或保证脚本在设备上执行;在典型代理环境中直接执行该脚本会失败(这些命令在非 Android 主机上不存在)。这一运行时假设值得注意。
- Instruction Scope
- concernSKILL.md 与 shell.sh 指示代理直接调用脚本并在设备上运行 su,然后执行一系列系统命令。脚本会把每次执行的命令和参数写入 /sdcard/Download/openclaw_*.log;因此通过 text 参数或其他命令传入的敏感信息(例如示例里的密码)会被记录到可读的日志文件中,存在敏感数据被持久化的隐私/泄露风险。脚本调用 su 无附加限制,获得 root 后能执行高权限操作(安装/卸载/清除数据等)。
- Install Mechanism
- ok没有安装规范或外部下载,唯一的代码是包含在包里的 shell.sh;不涉及从不受信任的 URL 拉取或在宿主机安装第三方包。
- Credentials
- note技能不要求环境变量或外部凭据(这是合理的),但它隐含地要求运行在已 root 的 Android 设备上并能访问 /sdcard。要求 root 权限对设备破坏面较大(安装/卸载/清除数据/强制停止应用等),应仅在完全信任设备和脚本来源时使用。
- Persistence & Privilege
- note技能不设置 always:true,也不修改其他技能或系统设置,但会在设备存储(/sdcard/Download 和 /sdcard/screenshot.png)上写入日志和截图,从持久性角度会在设备上留下痕迹。允许模型自动调用(默认)则会扩大影响范围——若代理可在可访问设备的上下文下自治调用,应谨慎授权。