Back to skill
Skillv1.0.1
ClawScan security
agent-quantizer · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 9, 2026, 1:21 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 脚本集合与说明大体与“API 调用优化/skill 管理”目的相符,但会读写和移动 ~/.openclaw 下的会话与 skill 文件、调用 openclaw agent(会产生网络/模型调用),且使用了未在元数据中声明的环境变量,存在需要用户注意的破坏性操作。
- Guidance
- 这是一个本地化的“优化/管理”脚本包:功能与说明基本一致,但它会读取并修改 ~/.openclaw 下的会话、agent 状态和 skill 目录,并且在 AI 摘要模式下会通过 openclaw agent 发送消息(会产生模型/API 调用和 token 消耗)。在安装前请:1) 在安全的测试环境或备份好 ~/.openclaw(尤其是 agents/*/sessions 和 workspace 目录);2) 手动审阅 deploy.sh 与各脚本(clean-zombies.sh、organize-skills.sh、quantize.sh 等)确认要执行的移动/删除逻辑;3) 注意依赖:openclaw CLI、jq、python3;4) 如果你不希望脚本修改默认状态目录,可在环境中设置 OPENCLAW_STATE_DIR 指向隔离位置;5) 对于自动移动 skills 的操作,建议先运行脚本的预览/交互模式并确保不会无意中覆盖或公开敏感 skill;最后,如果你不认识作者或不信任来源,先不要在生产环境运行。
Review Dimensions
- Purpose & Capability
- ok名字/描述与实际脚本高度一致:缓存、上下文压缩、token 统计、僵尸会话清理、heartbeat 检查、cron 审计、模型分级与 skill 整理。未见请求与描述完全不相关的外部凭据或二进制。
- Instruction Scope
- noteSKILL.md 和脚本会遍历并读取多个用户目录(~/.openclaw/workspace*、~/.openclaw/agents 等)、调用 openclaw CLI、发送 agent 消息(openclaw agent),并执行会修改状态的操作(移动/删除 session jsonl、写入备份、移动 skill 目录)。这些行为与工具目的相关,但属于高权限本地文件操作,具有潜在破坏性,应谨慎授权并在意外情况下备份。
- Install Mechanism
- ok没有从网络下载或安装第三方包;deploy.sh 仅复制本地打包的文件到 ~/.openclaw 并赋可执行权限。没有提到从不受信托的 URL 下载或执行外部代码,风险相对较低。
- Credentials
- concern元数据声明不需要环境变量,但脚本使用 OPENCLAW_STATE_DIR(可选)和依赖 HOME/openclaw 配置文件;脚本还会调用 openclaw CLI、python3、jq。按规则,SKILL.md/脚本访问了未在 requires.env 中声明的环境变量与配置路径,应被标注并确认。
- Persistence & Privilege
- concern虽然 always=false,脚本会修改其他 skills(organize-skills 会移动 skill 目录到全局)并删除/移动 session 文件(clean-zombies),还会提示重启 gateway。按规则,这类修改其他 skills/系统级目录的行为应被特别注意并在安装前获明确许可。