中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:5 hr ago Rescan
15 /100
auto-heal
全天自动监控 OpenClaw 状态,检测到卡死自动修复
合法的 OpenClaw 守护进程工具,通过 openclaw CLI 进行健康检查和自动修复,无恶意行为但权限声明不够明确
Skill Nameauto-heal
Duration27.4s
Enginepi
ClawHub Auto-Heal v1.0.0 by zacharyzax
📥 244 📦 2
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
建议补充 allowed-tools 声明以提高透明度

Findings 2 items

Severity Finding Location
Low
未声明的 shell 执行权限 Priv Escalation
SKILL.md 未声明 allowed-tools,代码中大量使用 execSync 执行命令,虽然都是通过 openclaw CLI 封装
execSync(cmd, { encoding: 'utf8', timeout })
→ 在 SKILL.md 中补充 allowed-tools 声明
 monitor.js:62
Info
会话 ID 直接拼接 Priv Escalation
执行杀死会话命令时直接拼接 session.id,理论上存在注入风险(需 openclaw CLI 本身无防护)
runCommand(`openclaw sessions kill ${session.id}`)
→ 建议添加 session.id 格式校验
 monitor.js:152
ResourceDeclaredInferredStatusEvidence
Shell NONE WRITE ✓ Aligned monitor.js:62 execSync(cmd)
Filesystem WRITE WRITE ✓ Aligned monitor.js:logs/state.json写入
4 findings
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/version-1.0.0-blue.svg
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg
README.md:4
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/openclaw-compatible-orange.svg
README.md:5
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:5

File Tree

6 files · 16.6 KB · 704 lines
JavaScript 2f · 372L Markdown 2f · 284L JSON 2f · 48L
├─ 📜 install.js JavaScript 74L · 1.9 KB
├─ 📜 monitor.js JavaScript 298L · 7.9 KB
├─ 📋 package.json JSON 38L · 974 B
├─ 📝 README.md Markdown 167L · 3.6 KB
├─ 📝 SKILL.md Markdown 117L · 2.1 KB
└─ 📋 state.json JSON 10L · 185 B

Security Positives

✓ 无 base64/eval 等代码混淆
✓ 无凭证收割或环境变量遍历
✓ 无外部网络通信(数据外传)
✓ 无文档-行为差异(阴影功能)
✓ 所有操作都通过 openclaw CLI 封装执行
✓ 日志功能完整且有声明