中文 EN
开始可信审查
安全决策报告

nexo-brain

仅含 SKILL.md 文档,无可审查代码;外部 npm 依赖 `nexo-brain` 构成供应链风险,文档隐私声明无法验证

安装决策优先 来源: ClawHub 扫描时间: 2026/4/28
文件 1
IOC 1
越权项 0
发现 4
最直接的威胁证据
高危 供应链
外部 npm 包依赖且无版本锁定

Skill 声明依赖 npm 包 `nexo-brain`,通过 `npx nexo-brain` 和 npm install 安装。该包托管于 npm registry,无版本锁定机制(package.json 未包含在包内),安装后 `~/.nexo/server.py` 的实际代码对审查者不可见。

SKILL.md:25

为什么得出这个结论

1/4 个维度触发
通过
声明与实际能力

声明资源与推断能力基本一致。

复核
隐藏执行与外联

提取到 1 个一般风险产物,需要结合上下文判断。

阻止
攻击链与高危发现

报告包含 0 步攻击链,另有 1 项高危或严重发现。

复核
依赖与供应链卫生

发现 1 项需要关注的依赖或供应链线索。

风险分是怎么被拉高的

无实际代码可审查 +10

仅 SKILL.md,无 scripts/*.py/js 文件,实际行为依赖外部 npm 包

供应链风险 +15

声明依赖外部 npm 包 nexo-brain (npm),未锁定版本,安装后代码不可见

未声明 allowed-tools +10

SKILL.md 无 allowed-tools 声明,无法映射声明权限

隐私声明无法验证 +7

声称"No telemetry, no cloud APIs"但无代码验证,依赖外部包实现

最关键的证据

高危 供应链

外部 npm 包依赖且无版本锁定

Skill 声明依赖 npm 包 `nexo-brain`,通过 `npx nexo-brain` 和 npm install 安装。该包托管于 npm registry,无版本锁定机制(package.json 未包含在包内),安装后 `~/.nexo/server.py` 的实际代码对审查者不可见。

SKILL.md:25
在安装前从 GitHub (https://github.com/wazionapps/nexo) 下载并审查源码;验证 npm 包的 integrity hash
中危 文档欺骗

allowed-tools 未声明

SKILL.md 未声明 allowed-tools 字段,无法映射声明权限与实际工具调用。根据能力格模型,无声明意味着应视为 NONE,但该 skill 实际依赖 python3、npm/npx、openclaw 等外部工具。

SKILL.md:1
要求作者补充 allowed-tools 声明,列出 filesystem:READ、shell:WRITE 等权限
中危 敏感访问

引用 ~/.nexo/ 和 ~/.openclaw/ 敏感路径

配置指向 ~/.nexo/server.py 和 ~/.openclaw/openclaw.json,这些路径可能包含敏感配置信息。MCP server 以当前用户权限运行 python3,能力边界取决于安装的外部包。

SKILL.md:37
确认 MCP server 的权限隔离;审查 ~/.nexo/server.py 的权限请求
低危 供应链

外部 URL 引用

包含指向 GitHub (https://github.com/wazionapps/nexo) 和 npm (https://www.npmjs.com/package/nexo-brain) 的外部链接,属于潜在信息泄露渠道。

SKILL.md:98
仅用于信息参考,不要在自动安装流程中访问这些链接

声明能力 vs 实际能力

文件系统 通过
声明 NONE
推断 READ
SKILL.md 引用 ~/.nexo/server.py,但无脚本代码
命令执行 通过
声明 NONE
推断 WRITE
npx nexo-brain / openclaw gateway restart,声明使用但无脚本
网络访问 通过
声明 NONE
推断 NONE
声明"no cloud APIs"但外部包实现未知

可疑产物与外联

中危 外部 URL
https://www.npmjs.com/package/nexo-brain

SKILL.md:101

依赖与供应链

包名版本来源漏洞备注
nexo-brain * npm 无版本锁定,供应链风险高;安装后代码位于 ~/.nexo/server.py 无法直接审查
python3 system system 系统依赖,用于运行 MCP server
openclaw system system 系统依赖,用于配置 MCP server

文件构成

1 个文件 · 101 行
Markdown 1 个文件 · 101 行
需关注文件 · 1
SKILL.md Markdown · 101 行
外部 npm 包依赖且无版本锁定 · allowed-tools 未声明 · 引用 ~/.nexo/ 和 ~/.openclaw/ 敏感路径 · 外部 URL 引用 · https://www.npmjs.com/package/nexo-brain

安全亮点

文档结构完整,包含 Setup、Tools、Privacy 等清晰章节
隐私声明明确:"Everything stays local, No telemetry, no cloud APIs"
声明使用 SQLite 而非外部数据库,符合本地存储承诺
基于 Atkinson-Shiffrin 认知模型,功能描述清晰
提供 MCP 工具列表(nexo_startup, nexo_heartbeat 等),透明度较高