all-skill-list Security Report — Trusted | ClawSafe

5 /100

all-skill-list

本地扩展技能目录 - 聚合所有 OpenClaw 本地技能，支持列表查询、描述提取、缓存加速、差异对比、自动更新技能清单

all-skill-list 是一个纯本地的 OpenClaw 技能目录管理工具，功能与声明完全一致，无任何恶意行为、越权操作或阴影功能。代码质量良好，仅依赖 Python 标准库，无安全风险。

Skill Nameall-skill-list

Duration38.6s

Enginepi

✓

Safe to install

可直接使用。该技能安全透明，建议保持代码仓库干净，无需要求或警告。

Findings 1 items

Severity	Finding	Location
Low	Pickle 反序列化缓存文件 Supply Chain load_cache() 使用 pickle.load() 从本地文件反序列化缓存。虽然文件位于受控的技能脚本目录下，但 pickle 可执行任意 Python 对象构造，建议改用 JSON 存储以消除理论风险。 `with open(CACHE_FILE, "rb") as f: cache = pickle.load(f)` → 将缓存格式从 pickle 改为 JSON，消除反序列化风险	`scripts/skill-list.py:34`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/skill-list.py:62 读取 SKILL.md 文件，仅遍历 ~/.openclaw/workspace/skills
Network	`NONE`	`NONE`	—	代码无任何 network 调用
Shell	`NONE`	`NONE`	—	无 subprocess/os.system/eval 等 shell 执行调用
Environment	`NONE`	`NONE`	—	代码无 os.environ 访问
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器调用
Database	`NONE`	`NONE`	—	无数据库操作
Skill Invoke	`NONE`	`NONE`	—	无嵌套技能调用

2 files · 25.2 KB · 717 lines

Python 1f · 524L Markdown 1f · 193L

├─ ▾ 📁 scripts

│ └─ 🐍 skill-list.py Python 524L · 18.4 KB

└─ 📝 SKILL.md Markdown 193L · 6.8 KB

✓ 文档完整详尽，所有命令行参数、输出格式均有对应代码实现

✓ 声明与代码行为 100% 一致，无阴影功能

✓ 作用域严格限定于 ~/.openclaw/workspace/skills，无越权访问

✓ 无 shell 执行、无网络请求、无凭证访问、无数据外泄

✓ 仅依赖 Python 标准库（sys, pickle, json, pathlib, datetime, traceback），无第三方依赖引入

✓ 代码结构清晰，有完善的错误处理和边界检查

✓ 自动修复功能有合理的边界条件判断，不会无限递归