Back to skill
Skillv1.1.0
ClawScan security
飞书AI工作日报 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 2, 2026, 11:05 AM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能要求直接读取系统中所有 agent 的 session 文件并将提取的消息发送到飞书,但未声明任何凭据或限制,行为与描述存在不一致并可能泄露敏感对话内容。
- Guidance
- 该技能会遍历并读取 /root/.openclaw/agents/*/sessions/*.jsonl(包含可能的用户私有对话),并将提取的内容发送到飞书,但元数据未说明需要哪些飞书凭据或限定哪些 agent 可被读取。建议在安装/启用前: - 向开发者确认并索要书面说明:哪些 agent 会被扫描、发送到哪个飞书空间/群组、使用哪个凭据(并要求在元数据中声明)。 - 确认团队成员已知情并同意其会话可能被汇总;若包含外部用户数据,先获得合规批准。 - 要求将读取范围收窄:限定 agent id 列表或特定会话路径、限定时间窗口(仅当天且仅某些 agent),并避免扫描所有 /root/.openclaw。 - 要求在部署前进行代码审计或在受限沙箱中测试(先在只有测试 agent 的环境运行,观察导出内容和发送行为)。 - 确认 message 工具和飞书凭据的存放与使用方式(不要把凭据硬编码到技能说明中;使用平台提供的受限凭据并记录审计日志)。 基于当前说明,这个技能在数据访问与传输方面存在明显不对等和未声明的风险,除非开发者提供明确限制与凭据说明,否则不建议在包含真实用户会话的环境中启用。
Review Dimensions
- Purpose & Capability
- concern技能声明是为团队生成日报,这本身可以通过团队共享的数据源完成;但运行指令要求直接遍历并读取 /root/.openclaw/agents/{agent_id}/sessions/*.jsonl(每个 agent 的完整会话日志),这是广泛访问其它 agent 私有会话历史的操作。并且发送到飞书的动作没有在元数据中声明需要的凭据或 API 配置,说明声明与实际需要的不一致。
- Instruction Scope
- concernSKILL.md 明确指示:查找今天修改的 .jsonl 文件、逐行解析、提取包含“DM from ou_”的消息并去重,然后写文件并通过 message 工具发送。此流程会收集并传输可能包含用户私有内容的对话,且没有任何限定(例如只针对明确的若干 agent id 或需要同意的成员)。指令直接引用系统路径并指定写入 /root/.openclaw/workspace,这超出了“生成日报”在描述中应有的最小作用范围。
- Install Mechanism
- ok该技能为 instruction-only,没有安装说明、无外部下载或写盘的安装步骤,安装风险低(不会在安装阶段引入外部二进制或代码)。
- Credentials
- concernSKILL.md 需要将日报发送到飞书,但技能元数据未声明任何飞书相关凭据(API key / token)或如何安全使用 message 工具;同时要求读取其它 agent 的会话文件,这等同于要求访问敏感数据却没有以 requires.env 或其他声明来解释、限定或请求用户批准,权限与用途不成比例。
- Persistence & Privilege
- concern虽然 always:false 且没有安装步骤,技能仍要求读取其他 agents 的 session 数据并写入 /root/.openclaw/workspace,这意味着它有能力横向访问多 agent 的历史数据。该行为会扩大权限边界(跨 agent 访问)但并未在元数据或说明中声明为必要权限或寻求授权。