wechat-openclaw-gateway Security Report — Trusted | ClawSafe

5 /100

wechat-openclaw-gateway

在 OpenClaw 中提供 WeChat 回调接入、群私聊会话路由、消息发送与图片识别入口能力

合法 WeChat 网关工具，代码与文档一致，无恶意行为，仅存在轻微配置管理瑕疵（token 存文件而非 env）。

Skill Namewechat-openclaw-gateway

Duration44.2s

Enginepi

✓

Safe to install

可直接使用。考虑将 WX_API_TOKEN 改为通过环境变量注入以进一步强化安全。

Findings 1 items

Severity	Finding	Location
Low	API Token 明文存储在配置文件 Priv Escalation WX_API_TOKEN 在首次初始化时由用户输入，随后明文写入 config.ini，未使用环境变量或密钥管理服务。这是配置管理问题而非安全漏洞，因为 token 来源于用户输入而非系统凭证收割。 `write_config(cfg) # token 明文写入 config.ini` → 建议改为从环境变量读取 WX_API_TOKEN，config.ini 仅存储非敏感配置	`main.py:170`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:创建 config.ini、logs/、images/；main.py:write_config()、save_incoming_image_…
Network	`READ`	`READ`	✓ Aligned	SKILL.md声明调用微信API；main.py:requests.post()至{base_url}下的各端点，均为合法API调用
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md声明调用OpenClaw CLI；main.py:subprocess.run([self.bin, 'agent', ...])
Environment	`NONE`	`READ`	✓ Aligned	main.py:os.environ.copy() 仅用于构建子进程环境，未遍历敏感关键字

9 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/Python-3.10+-blue

README.md:6

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/FastAPI-WebHook-green

README.md:7

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/OpenClaw-Agent-orange

README.md:8

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/Status-Running-success

README.md:9

🔗

Medium External URL 外部 URL

http://your-domain:5000

README.md:212

🔗

Medium External URL 外部 URL

http://your-domain:5000/wechat/callback

README.md:216

🔗

Medium External URL 外部 URL

https://wechatapi.net

SKILL.md:4

🔗

Medium External URL 外部 URL

http://api.wechatapi.net/finder/v2/api

SKILL.md:65

🔗

Medium External URL 外部 URL

http://你的公网IP:5000

main.py:91

File Tree

4 files · 50.5 KB · 1711 lines

Python 1f · 1114L Markdown 3f · 597L

├─ 🐍 main.py Python 1114L · 40.7 KB

├─ 📝 PUBLISH.md Markdown 38L · 762 B

├─ 📝 README.md Markdown 336L · 4.1 KB

└─ 📝 SKILL.md Markdown 223L · 5.1 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`fastapi`	`未锁定`	pip	No	未在代码中指定版本，README.md 列出但未锁定
`uvicorn`	`未锁定`	pip	No	未在代码中指定版本
`requests`	`未锁定`	pip	No	未在代码中指定版本
`pillow`	`未锁定`	pip	No	未在代码中指定版本
`qrcode`	`未锁定`	pip	No	未在代码中指定版本

Security Positives

✓ 文档与代码完全一致，无阴影功能

✓ 无凭证收割行为（不遍历 os.environ 匹配敏感关键字）

✓ 无代码混淆、Base64 动态执行或 eval 行为

✓ 所有网络请求均为声明的微信 API 端点，无外部 C2 通信

✓ subprocess 调用仅用于合法的 OpenClaw CLI，未执行动态构造的 shell 命令

✓ 依赖包均为主流安全库，无已知高危漏洞

✓ 使用代理禁用（NO_PROXY）防止请求被重定向

✓ 消息去重机制防止重放攻击

✓ 白名单机制控制私聊访问权限

Scan Report

Findings 1 items

File Tree

Dependencies 5 items

Security Positives