all-skill-list 安全扫描报告 — 可信 | ClawSafe

5 /100

all-skill-list

本地扩展技能目录 - 聚合所有 OpenClaw 本地技能，支持列表查询、描述提取、缓存加速、差异对比、自动更新技能清单

all-skill-list 是一个纯本地的 OpenClaw 技能目录管理工具，功能与声明完全一致，无任何恶意行为、越权操作或阴影功能。代码质量良好，仅依赖 Python 标准库，无安全风险。

技能名称all-skill-list

分析耗时38.6s

引擎pi

✓

可以安装

可直接使用。该技能安全透明，建议保持代码仓库干净，无需要求或警告。

安全发现 1 项

严重性	安全发现	位置
低危	Pickle 反序列化缓存文件供应链 load_cache() 使用 pickle.load() 从本地文件反序列化缓存。虽然文件位于受控的技能脚本目录下，但 pickle 可执行任意 Python 对象构造，建议改用 JSON 存储以消除理论风险。 `with open(CACHE_FILE, "rb") as f: cache = pickle.load(f)` → 将缓存格式从 pickle 改为 JSON，消除反序列化风险	`scripts/skill-list.py:34`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/skill-list.py:62 读取 SKILL.md 文件，仅遍历 ~/.openclaw/workspace/skills
网络访问	`NONE`	`NONE`	—	代码无任何 network 调用
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system/eval 等 shell 执行调用
环境变量	`NONE`	`NONE`	—	代码无 os.environ 访问
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器调用
数据库	`NONE`	`NONE`	—	无数据库操作
技能调用	`NONE`	`NONE`	—	无嵌套技能调用

2 文件 · 25.2 KB · 717 行

Python 1f · 524L Markdown 1f · 193L

├─ ▾ 📁 scripts

│ └─ 🐍 skill-list.py Python 524L · 18.4 KB

└─ 📝 SKILL.md Markdown 193L · 6.8 KB

✓ 文档完整详尽，所有命令行参数、输出格式均有对应代码实现

✓ 声明与代码行为 100% 一致，无阴影功能

✓ 作用域严格限定于 ~/.openclaw/workspace/skills，无越权访问

✓ 无 shell 执行、无网络请求、无凭证访问、无数据外泄

✓ 仅依赖 Python 标准库（sys, pickle, json, pathlib, datetime, traceback），无第三方依赖引入

✓ 代码结构清晰，有完善的错误处理和边界检查

✓ 自动修复功能有合理的边界条件判断，不会无限递归