Skill Trust Decision

layered-memory

Name: layered-memory Trust Review Report
Item: layered-memory
Rating: 55
Author: ClawSafe

代码引用 ~/clawd/scripts/ 下的外部脚本（memory-extractor.js, memory-archiver.js, generate-layers-simple.js, memory-reader.js）但这些脚本未打包在技能目录中；此外 SKILL.md 声明了 4 个命令但代码实际实现了 9 个（extract/archive/summary/dedupe 未声明）。

Install decision first Source: ClawHub Scanned: Apr 6, 2026

Files 18

Artifacts 0

Violations 2

Findings 5

Most direct threat evidence

用户安装 layered-memory 技能，读取 SKILL.md 理解其功能 Entry · SKILL.md

技能代码 require ~/clawd/scripts/memory-extractor.js 等外部脚本 Escalation · index.js

generate/read/search/stats 等方法通过 execSync 执行外部 JS 脚本 Escalation · index.js

Why this conclusion was reached

2/4 dimensions flagged

Block

Declared vs actual capability

2 undeclared or violating capabilities were inferred.

Pass

Hidden execution and egress

No obvious high-risk egress or execution signals were found.

Block

Attack chain and severe findings

The report includes 4 attack-chain steps and 2 severe findings.

Pass

Dependencies and supply chain hygiene

Dependencies are present but no obvious high-risk issue stands out.

Attack Chain

用户安装 layered-memory 技能，读取 SKILL.md 理解其功能

Entry · SKILL.md:1

技能代码 require ~/clawd/scripts/memory-extractor.js 等外部脚本

Escalation · index.js:29

generate/read/search/stats 等方法通过 execSync 执行外部 JS 脚本

Escalation · index.js:40

攻击者可将恶意脚本放置在 ~/clawd/scripts/ 下，技能运行时以同权限执行（条件：用户 ~/clawd/scripts/ 目录可写且无验证）

Impact · index.js:40

What drove the risk score up

未声明的 shell 执行 +20

index.js 使用 execSync 执行外部 JS 脚本，但 SKILL.md 未声明 shell:WRITE 能力

外部依赖缺失 +15

代码 require ~/clawd/scripts/ 下的 4 个脚本但未打包，运行时必然失败或依赖外部污染

文档-行为差异 +10

SKILL.md 只声明 4 个命令，实际实现了 9 个（extract/archive/summary/dedupe）

Most important evidence

High Supply Chain

外部脚本缺失导致功能不可用

index.js 第 29-31 行 require ~/clawd/scripts/ 下的 memory-extractor.js 和 memory-archiver.js，第 40-58 行的 generate/read/search/stats 方法通过 execSync 调用 ~/clawd/scripts/ 下的 generate-layers-simple.js 和 memory-reader.js，但这 4 个脚本均未打包在技能目录中。运行时必然报错，除非用户在 ~/clawd/scripts/ 下自行准备这些脚本。

index.js:29-58

将 memory-extractor.js, memory-archiver.js, generate-layers-simple.js, memory-reader.js 打包到 skills/layered-memory/scripts/ 目录内，并更新路径引用

High Doc Mismatch

SKILL.md 声明命令与实际不符

SKILL.md 只声明了 generate、read、search、stats 四个命令，但 index.js 实际实现了 9 个 CLI 命令（generate、read、search、stats、maintain、extract、archive、summary、dedupe），其中 extractMemories、archiveOld、monthlySummary、deduplicate 为阴影功能。

index.js:145-218

更新 SKILL.md，完整声明 extract、archive、summary、dedupe、maintain 命令及其功能

Medium Supply Chain

test.js 对外部路径存在性检查

test.js 第 75-86 行检查 ~/clawd/scripts/generate-layers-simple.js 是否存在，并读取其内容验证 v2 功能。这意味着 test 依赖于用户环境中有该脚本，技能自身不完整。

test.js:75-86

移除对 ~/clawd/scripts 的外部依赖，或将该检查改为 mock 方式

Low Doc Mismatch

benchmark.js 包含硬编码用户路径

benchmark.js 第 56-57 行硬编码了 /root/.openclaw/workspace/memory/ 路径，非可移植路径。

benchmark.js:56-57

使用环境变量或相对路径替代硬编码路径

Low Doc Mismatch

OpenClaw hook 未在 SKILL.md 中声明

package.json 注册了 openclaw hooks (agent:bootstrap 事件注入记忆提醒)，但 SKILL.md 未提及此行为。

package.json:19-26

在 SKILL.md Capabilities 章节补充声明 OpenClaw 集成和行为

Declared capability vs actual capability

Filesystem Block

Declared READ

→

Inferred WRITE

index.js:29-31 代码执行 fs.readFileSync/writeFileSync

Shell Block

Declared NONE

→

Inferred WRITE

index.js:40-58 使用 execSync 调用外部脚本

Skill Invoke Pass

Declared NONE

→

Inferred WRITE

index.js:29-31 require(~/clawd/scripts/memory-extractor.js) 等外部模块

Suspicious artifacts and egress

No obvious IOC was extracted.

Dependencies and supply chain

Package	Version	Source	Known vuln	Notes
memory-extractor.js	`N/A`	~/.clawd/scripts/ (external, not bundled)	No	高风险：外部脚本未打包，依赖用户环境存在
memory-archiver.js	`N/A`	~/.clawd/scripts/ (external, not bundled)	No	高风险：外部脚本未打包，依赖用户环境存在
generate-layers-simple.js	`N/A`	~/.clawd/scripts/ (external, not bundled)	No	高风险：外部脚本未打包，依赖用户环境存在
memory-reader.js	`N/A`	~/.clawd/scripts/ (external, not bundled)	No	高风险：外部脚本未打包，依赖用户环境存在

File composition

18 files · 2694 lines

Markdown 11 files · 1766 linesJavaScript 5 files · 878 linesJSON 2 files · 50 lines

Files of concern · 3

index.js JavaScript · 405 lines

外部脚本缺失导致功能不可用 · SKILL.md 声明命令与实际不符

test.js JavaScript · 156 lines

test.js 对外部路径存在性检查

benchmark.js JavaScript · 88 lines

benchmark.js 包含硬编码用户路径

Other files · AUTO-TRIGGER.md · AUTO-SAVE-GUIDE.md · INTEGRATION.md · README.md · config-loader.js · UPGRADE_PLAN.md +3

18 files · 64.8 KB · 2694 lines

Markdown 11f · 1766LJavaScript 5f · 878LJSON 2f · 50L

├─ ▾ 📁 hooks

│ └─ ▾ 📁 openclaw

│ ├─ 📝 HOOK.md Markdown 43L · 1001 B

│ └─ 📜 handler.js JavaScript 73L · 1.9 KB

├─ ▾ 📁 lib

│ └─ 📜 config-loader.js JavaScript 156L · 3.8 KB

├─ 📝 ANTI-DUPLICATE.md Markdown 119L · 2.3 KB

├─ 📝 AUTO-SAVE-GUIDE.md Markdown 303L · 5.9 KB

├─ 📝 AUTO-TRIGGER.md Markdown 349L · 6.4 KB

├─ 📝 CHANGELOG.md Markdown 67L · 1.9 KB

├─ 📝 CONTRIBUTING.md Markdown 48L · 1.0 KB

├─ 📝 INTEGRATION.md Markdown 301L · 5.8 KB

├─ 📝 PRACTICAL-SOLUTION.md Markdown 157L · 3.6 KB

├─ 📝 README.md Markdown 220L · 4.6 KB

├─ 📝 SKILL.md Markdown 31L · 960 B

├─ 📝 UPGRADE_PLAN.md Markdown 128L · 3.7 KB

├─ 📜 benchmark.js JavaScript 88L · 2.5 KB

├─ 📋 config.example.json JSON 23L · 459 B

├─ 📜 index.js JavaScript 405L · 11.5 KB

├─ 📋 package.json JSON 27L · 839 B

└─ 📜 test.js JavaScript 156L · 6.7 KB

Security positives

无恶意代码：无 base64 编码、eval、混淆或反向 shell

无凭证收割：未遍历环境变量匹配敏感关键字

无数据外泄：无 POST 请求或 C2 通信

无硬编码凭证或密钥

MIT 许可证声明清晰

benchmark.js 使用字符数估算 token（无外部 API 调用）

OpenClaw hook 行为仅为注入文本提醒，无危害操作