中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:5 小时前 重新扫描
15 /100
auto-heal
全天自动监控 OpenClaw 状态,检测到卡死自动修复
合法的 OpenClaw 守护进程工具,通过 openclaw CLI 进行健康检查和自动修复,无恶意行为但权限声明不够明确
技能名称auto-heal
分析耗时27.4s
引擎pi
ClawHub Auto-Heal v1.0.0 by zacharyzax
📥 244 📦 2
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
建议补充 allowed-tools 声明以提高透明度

安全发现 2 项

严重性 安全发现 位置
低危
未声明的 shell 执行权限 权限提升
SKILL.md 未声明 allowed-tools,代码中大量使用 execSync 执行命令,虽然都是通过 openclaw CLI 封装
execSync(cmd, { encoding: 'utf8', timeout })
→ 在 SKILL.md 中补充 allowed-tools 声明
 monitor.js:62
提示
会话 ID 直接拼接 权限提升
执行杀死会话命令时直接拼接 session.id,理论上存在注入风险(需 openclaw CLI 本身无防护)
runCommand(`openclaw sessions kill ${session.id}`)
→ 建议添加 session.id 格式校验
 monitor.js:152
资源类型声明权限推断权限状态证据
命令执行 NONE WRITE ✓ 一致 monitor.js:62 execSync(cmd)
文件系统 WRITE WRITE ✓ 一致 monitor.js:logs/state.json写入
4 项发现
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/version-1.0.0-blue.svg
README.md:3
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg
README.md:4
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/openclaw-compatible-orange.svg
README.md:5
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:5

目录结构

6 文件 · 16.6 KB · 704 行
JavaScript 2f · 372L Markdown 2f · 284L JSON 2f · 48L
├─ 📜 install.js JavaScript 74L · 1.9 KB
├─ 📜 monitor.js JavaScript 298L · 7.9 KB
├─ 📋 package.json JSON 38L · 974 B
├─ 📝 README.md Markdown 167L · 3.6 KB
├─ 📝 SKILL.md Markdown 117L · 2.1 KB
└─ 📋 state.json JSON 10L · 185 B

安全亮点

✓ 无 base64/eval 等代码混淆
✓ 无凭证收割或环境变量遍历
✓ 无外部网络通信(数据外传)
✓ 无文档-行为差异(阴影功能)
✓ 所有操作都通过 openclaw CLI 封装执行
✓ 日志功能完整且有声明