ClaWiser Security Report — Trusted | ClawSafe

5 /100

ClaWiser

Agent 记忆与工作流增强套件，包含 8 个模块

ClaWiser 是标准的 Agent 记忆与工作流增强套件，所有代码均为本地文本处理和 Git 操作，无恶意行为。文档提及外部 URL 但代码未实际调用。

Skill NameClaWiser

Duration55.0s

Enginepi

✓

Safe to install

可安全安装使用。无需特殊限制。

Findings 1 items

Severity	Finding	Location
Info	文档提及外部 URL 但代码未实现 Doc Mismatch SKILL.md 提到阿里云 dashscope 和 bailian 链接用于 embedding API 配置说明，但 merge-daily-transcript.js 代码中无任何 HTTP 请求。这是合理的文档说明，不是恶意行为。 `https://dashscope.aliyuncs.com/compatible-mode/v1` → 无需处理，这是正常的配置文档说明	`assets/memory-deposit/SKILL.md:153`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明 cp/mkdir/git 操作，代码实现一致
Shell	`WRITE`	`WRITE`	✓ Aligned	auto-commit.sh 使用 git add/commit，merge-daily-transcript.js 使用 Node.js fs 模块
Network	`NONE`	`NONE`	—	代码无任何网络请求
Environment	`NONE`	`READ`	✓ Aligned	仅读取 TZ、OPENCLAW_WORKSPACE 等配置变量，不采集敏感信息

2 findings

🔗

Medium External URL 外部 URL

https://dashscope.aliyuncs.com/compatible-mode/v1

assets/memory-deposit/SKILL.md:153

🔗

Medium External URL 外部 URL

https://bailian.console.aliyun.com/

assets/memory-deposit/SKILL.md:158

File Tree

18 files · 136.6 KB · 3444 lines

Markdown 14f · 2083L JavaScript 3f · 1297L Shell 1f · 64L

├─ ▾ 📁 assets

│ ├─ ▾ 📁 hdd

│ │ └─ 📝 SKILL.md Markdown 365L · 15.1 KB

│ ├─ ▾ 📁 load-game

│ │ └─ 📝 SKILL.md Markdown 129L · 3.9 KB

│ ├─ ▾ 📁 memory-deposit

│ │ ├─ ▾ 📁 references

│ │ │ └─ 📝 memory-rules.md Markdown 25L · 737 B

│ │ ├─ ▾ 📁 scripts

│ │ │ ├─ 🔧 auto-commit.sh Shell 64L · 2.0 KB

│ │ │ └─ 📜 merge-daily-transcript.js JavaScript 499L · 19.0 KB

│ │ └─ 📝 SKILL.md Markdown 191L · 6.9 KB

│ ├─ ▾ 📁 noise-reduction

│ │ ├─ ▾ 📁 references

│ │ │ ├─ 📝 common-failures.md Markdown 101L · 5.7 KB

│ │ │ ├─ 📝 example-classifier.md Markdown 77L · 3.0 KB

│ │ │ └─ 📝 noise-categories.md Markdown 50L · 2.7 KB

│ │ ├─ ▾ 📁 scripts

│ │ │ ├─ 📜 diagnose-noise.js JavaScript 411L · 16.2 KB

│ │ │ └─ 📜 validate-noise-reduction.js JavaScript 387L · 14.4 KB

│ │ └─ 📝 SKILL.md Markdown 231L · 10.7 KB

│ ├─ ▾ 📁 project-skill-pairing

│ │ └─ 📝 SKILL.md Markdown 152L · 4.6 KB

│ ├─ ▾ 📁 retrieval-enhance

│ │ └─ 📝 SKILL.md Markdown 185L · 6.5 KB

│ ├─ ▾ 📁 save-game

│ │ └─ 📝 SKILL.md Markdown 134L · 4.6 KB

│ └─ ▾ 📁 sdd

│ └─ 📝 SKILL.md Markdown 111L · 5.5 KB

├─ 📝 README.md Markdown 88L · 3.2 KB

└─ 📝 SKILL.md Markdown 244L · 11.9 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`Node.js 标准库`	`无需安装`	内置	No	仅使用 fs, path, os, child_process 标准模块
`Bash/git`	`系统内置`	系统	No	使用标准 git 命令

Security Positives

✓ 所有代码功能均有 SKILL.md 文档说明，无阴影功能

✓ 仅使用标准库 fs、path、os、git，无第三方依赖风险

✓ 无网络请求、数据外泄、凭证访问等高危操作

✓ 脚本仅处理本地 ~/.openclaw/ 目录下的 session 数据

✓ Git 操作（auto-commit.sh）仅在本地仓库执行

✓ Node.js 脚本纯文本处理，无代码执行注入风险

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives