Adam Framework 安全扫描报告 — 低风险 | ClawSafe

20 /100

Adam Framework

5层持久记忆和一致性架构，用于 OpenClaw AI Agent，解决 AI 失忆症和会话内漂移问题

Adam Framework 是一个合法的本地 AI 记忆架构项目，代码质量高、文档完整。无恶意行为发现。存在轻微文档-行为差异（update_live_stats.py 的 git push 能力和 SENTINEL.sh 的进程管理操作未在 SKILL.md 中声明）以及硬编码路径问题，但均为功能正常操作，无数据外泄意图。

技能名称Adam Framework

分析耗时82.2s

引擎pi

✓

可以安装

建议将 update_live_stats.py 的 git 自动化行为和 SENTINEL.sh 的进程管理操作补充到 SKILL.md 声明中；将硬编码路径改为通过参数传入。整体安全可用。

安全发现 4 项

严重性	安全发现	位置
低危	SKILL.md 未声明 git 自动提交推送能力文档欺骗 update_live_stats.py 会对 README.md 和 index.html 进行修改，通过 git add/commit/pull/push 自动提交并推送到远程仓库。这一行为在代码注释中有说明，但 SKILL.md 仅列出文件路径，完全未提及 git 操作和远程推送。 `git(["commit", "-m", msg], REPO_PATH); git(["push"], REPO_PATH)` → 在 SKILL.md 中声明此技能具备 git 自动提交推送能力，或将 git 操作改为仅本地文件写入，由用户手动提交	`tools/update_live_stats.py:64`
低危	硬编码绝对路径可能导致文件误写供应链 update_live_stats.py、coherence_monitor.py、generate_obsidian_links.py 等多处使用硬编码的 Windows 用户路径（如 C:\Users\ajsup\adam-framework-public），这些路径在 SKILL.md 中完全未提及。在非预期机器上运行可能导致 README/index.html 被意外修改。 `REPO_PATH = r"C:\Users\ajsup\adam-framework-public"` → 将硬编码路径改为命令行参数或环境变量输入，确保用户明确控制写入目标	`tools/update_live_stats.py:9`
低危	SENTINEL.sh 进程终止操作未声明权限提升 engine/SENTINEL.template.sh 使用 pkill -f "openclaw" 和 pkill -f "gateway" 终止系统进程。该操作对于 watchdog 功能是合理的，但 SKILL.md 未声明此技能具备进程管理能力。 `pkill -f "openclaw" 2>/dev/null; pkill -f "gateway" 2>/dev/null` → 在 SKILL.md capabilities 或 allowed-tools 中声明进程终止权限	`engine/SENTINEL.template.sh:72`
提示	mcp-server/requirements.txt 无版本锁定供应链 mcp>=1.0.0 使用宽松版本约束，未锁定具体版本号，存在依赖兼容性风险。 `mcp>=1.0.0` → 使用精确版本号如 mcp==1.0.0 或 mcp>=1.0.0,<2.0.0	`mcp-server/requirements.txt:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	SKILL.md:18 tools/update_live_stats.py:64-79 写入 README.md 和 index.html
网络访问	`NONE`	`READ`	✓ 一致	SKILL.md:18 tools/reconcile_memory.py:103 向 Gemini API 发送网络请求
命令执行	`NONE`	`WRITE`	✓ 一致	SKILL.md:18 engine/SENTINEL.template.sh:72 pkill、openclaw、python 命令执行
环境变量	`NONE`	`READ`	✓ 一致	SKILL.md:18 mcp-server/server.py:43 读取 ADAM_VAULT_PATH 环境变量
数据库	`NONE`	`READ`	✓ 一致	SKILL.md:18 tools/generate_obsidian_links.py:59 sqlite3 连接本地神经图数据库
技能调用	`NONE`	`WRITE`	✓ 一致	SKILL.md:18 tools/ingest_triples.sh:97 调用 mcporter 执行 neural-memory.nmem_remembe…

39 项发现

🔗

中危外部 URL 外部 URL

https://strangeadvancedmarketing.github.io/Adam/showcase/ai-amnesia-solved.html

FOR_AI_VISITORS.md:61

🔗

中危外部 URL 外部 URL

https://strangeadvancedmarketing.github.io/Adam/

README.md:7

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/🌐%20Live%20Site-Visit%20Now-gold?style=for-the-badge

README.md:7

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/📊%20Interactive%20Proof-353%20Sessions-blue?style=for-the-badge

README.md:8

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/📖%20The%20Story-8%20Months-green?style=for-the-badge

README.md:9

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-lightgrey?style=for-the-badge

README.md:10

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/adam-framework

README.md:11

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/%E2%9A%A1%20Fast--Track%20Setup-%2449-ff90e8?style=for-the-badge

README.md:11

🔗

中危外部 URL 外部 URL

https://img.shields.io/github/stars/strangeadvancedmarketing/Adam?style=for-the-badge&color=gold

README.md:12

🔗

中危外部 URL 外部 URL

https://img.shields.io/github/forks/strangeadvancedmarketing/Adam?style=for-the-badge&color=blue

README.md:13

🔗

中危外部 URL 外部 URL

https://img.shields.io/github/last-commit/strangeadvancedmarketing/Adam?style=for-the-badge

README.md:14

🔗

中危外部 URL 外部 URL

https://openclaw.ai

README.md:90

🔗

中危外部 URL 外部 URL

https://python.org

README.md:289

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/mcporter

README.md:290

🔗

中危外部 URL 外部 URL

https://build.nvidia.com

README.md:291

🔗

中危外部 URL 外部 URL

https://aistudio.google.com/app/apikey

README.md:292

🔗

中危外部 URL 外部 URL

https://api.star-history.com/svg?repos=strangeadvancedmarketing/Adam&type=Date

README.md:347

🔗

中危外部 URL 外部 URL

https://star-history.com/#strangeadvancedmarketing/Adam&Date

README.md:347

🔗

中危外部 URL 外部 URL

https://t.me/BotFather

SETUP_HUMAN.md:366

🔗

中危外部 URL 外部 URL

https://jsonlint.com

SETUP_HUMAN.md:403

🔗

中危外部 URL 外部 URL

https://x.com/strange1kenobi

SHOWCASE.md:23

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/bhsqoq

adam-hub.html:112

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/bjvnas

adam-hub.html:119

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/pugwzi

adam-hub.html:126

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/xrbdgl

adam-hub.html:133

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/gyfzs

adam-hub.html:140

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/gkvvqp

adam-hub.html:147

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/hbrga

adam-hub.html:154

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/iixloz

adam-hub.html:161

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/ertjln

adam-hub.html:168

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/wtzif

adam-hub.html:178

🔗

中危外部 URL 外部 URL

https://strangemarket.gumroad.com/l/dpvnj

adam-hub.html:185

🔗

中危外部 URL 外部 URL

https://integrate.api.nvidia.com/v1

docs/CONFIG_REFERENCE.md:34

🔗

中危外部 URL 外部 URL

https://openrouter.ai/api/v1

docs/CONFIG_REFERENCE.md:51

🔗

中危外部 URL 外部 URL

https://api.groq.com/openai/v1

docs/CONFIG_REFERENCE.md:52

🔗

中危外部 URL 外部 URL

https://obsidian.md

docs/SETUP.md:36

🔗

中危外部 URL 外部 URL

https://strangeadvancedmarketing.github.io/Adam/og-image.png

index.html:12

🔗

中危外部 URL 外部 URL

http://www.w3.org/2000/svg

index.html:30

📧

提示邮箱邮箱地址

[email protected]

docs/CONFIG_REFERENCE.md:234

目录结构

48 文件 · 443.9 KB · 10520 行

Markdown 29f · 5567L Python 7f · 2499L HTML 3f · 1623L Shell 2f · 527L JSON 4f · 279L Text 2f · 15L YAML 1f · 10L

├─ ▾ 📁 benchmarks

│ └─ 📝 README.md Markdown 65L · 1.8 KB

├─ ▾ 📁 docs

│ ├─ 📝 ARCHITECTURE.md Markdown 216L · 10.0 KB

│ ├─ 📝 CONFIG_REFERENCE.md Markdown 242L · 6.8 KB

│ ├─ 📝 CONTEXT_COMPILER.md Markdown 204L · 8.6 KB

│ ├─ 📝 LESSONS_LEARNED.md Markdown 814L · 32.6 KB

│ ├─ 📝 LINEAGE_EXTENDED.md Markdown 367L · 16.9 KB

│ ├─ 📝 LINEAGE.md Markdown 241L · 10.1 KB

│ ├─ 📝 PROOF.md Markdown 121L · 6.7 KB

│ ├─ 📝 SETUP.md Markdown 360L · 12.0 KB

│ ├─ 📝 SKILLS_SYSTEM.md Markdown 183L · 6.3 KB

│ └─ 📝 SWARM.md Markdown 175L · 7.0 KB

├─ ▾ 📁 engine

│ ├─ 📋 mcporter.template.json JSON 65L · 3.3 KB

│ ├─ 📋 openclaw.template.json JSON 192L · 5.0 KB

│ └─ 🔧 SENTINEL.template.sh Shell 278L · 10.7 KB

├─ ▾ 📁 mcp-server

│ ├─ 📝 README.md Markdown 81L · 2.8 KB

│ ├─ 📄 requirements.txt Text 1L · 12 B

│ └─ 🐍 server.py Python 167L · 6.0 KB

├─ ▾ 📁 showcase

│ └─ 📄 ai-amnesia-solved.html HTML 1133L · 45.8 KB

├─ ▾ 📁 tools

│ ├─ 🐍 coherence_monitor.py Python 428L · 17.2 KB

│ ├─ 🐍 generate_obsidian_links.py Python 271L · 10.7 KB

│ ├─ 🔧 ingest_triples.sh Shell 249L · 9.9 KB

│ ├─ 🐍 legacy_importer.py Python 436L · 17.7 KB

│ ├─ 🐍 reconcile_memory.py Python 618L · 24.1 KB

│ ├─ 🐍 test_coherence_monitor.py Python 465L · 19.0 KB

│ └─ 🐍 update_live_stats.py Python 114L · 4.0 KB

├─ ▾ 📁 vault-templates

│ ├─ 📝 active-context.template.md Markdown 25L · 730 B

│ ├─ 📝 BOOT_SEQUENCE.md Markdown 114L · 4.7 KB

│ ├─ 📋 coherence_baseline.template.json JSON 9L · 208 B

│ ├─ 📋 coherence_log.template.json JSON 13L · 246 B

│ ├─ 📝 CORE_MEMORY.template.md Markdown 147L · 4.2 KB

│ ├─ 📝 SOUL.template.md Markdown 105L · 3.7 KB

│ └─ 📝 TOPIC_INDEX.template.md Markdown 25L · 793 B

├─ 📄 adam-hub.html HTML 206L · 17.1 KB

├─ 📝 AGENTS.md Markdown 88L · 3.4 KB

├─ 📝 AUDIT.md Markdown 59L · 2.0 KB

├─ 📝 CHANGELOG.md Markdown 63L · 2.6 KB

├─ 📝 CONTRIBUTING.md Markdown 85L · 3.9 KB

├─ 📝 FOR_AI_VISITORS.md Markdown 71L · 4.7 KB

├─ 📄 index.html HTML 284L · 27.5 KB

├─ 📝 README.md Markdown 383L · 18.5 KB

├─ 📄 requirements.txt Text 14L · 461 B

├─ 📝 ROADMAP.md Markdown 313L · 14.9 KB

├─ 📝 SECURITY.md Markdown 61L · 2.1 KB

├─ 📝 SETUP_AI.md Markdown 419L · 15.1 KB

├─ 📝 SETUP_HUMAN.md Markdown 435L · 17.4 KB

├─ 📝 SHOWCASE.md Markdown 47L · 1.4 KB

├─ 📝 SKILL.md Markdown 58L · 2.8 KB

└─ 📋 smithery.yaml YAML 10L · 485 B

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`mcp`	`>=1.0.0`	pip	否	无版本锁定，仅在 mcp-server/requirements.txt 中
`requests`	`未声明`	pip	否	reconcile_memory.py 使用但未在 requirements.txt 中声明
`neural-memory`	`未声明`	pip	否	可选依赖，未在 requirements.txt 中列出

安全亮点

✓ 代码质量高，注释详尽，每个函数都有完整文档字符串

✓ 无恶意行为：无反向 shell、无 C2 通信、无 base64 编码执行

✓ 凭证访问有正当用途（调用 Gemini API 进行记忆合并），未外传

✓ 无环境变量敏感关键字遍历、无 ~/.ssh 等敏感路径访问

✓ coherence_monitor.py 和 reconcile_memory.py 有完善的错误处理和备份机制

✓ legacy_importer.py 仅本地文件处理，无网络请求或凭证访问

✓ reconcile_memory.py 包含 LLM 响应验证（长度比检查、header 验证），防止数据损坏

✓ 项目为真实开源项目，有 GitHub 仓库、MIT 许可证、详细的文档和变更历史