Scan Report
This report was generated in Chinese. Some content may be in Chinese.
5 /100
config-tracker
自动追踪并提交 OpenClaw 配置文件和关键 markdown 文件的变更
Config Tracker 是一个合法的 git 版本控制工具,代码与文档完全一致,无恶意行为,可安全使用。
Safe to install
可安全部署使用。该技能执行受限于 workspace 目录和 ~/.openclaw/ 配置目录,符合声明用途。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | READ | ✓ Aligned | 使用 node:fs 读取 workspace 文件和 openclaw.json,仅用于检测变更 |
| Filesystem | WRITE | WRITE | ✓ Aligned | 执行 git commit 写入操作,限 workspace 和 ~/.openclaw/ 目录 |
| Shell | WRITE | WRITE | ✓ Aligned | spawnSync('git', [...args]) 本地 git 操作,无远程执行或管道注入 |
| Network | NONE | NONE | — | 无任何网络请求,git 操作完全本地执行 |
| Environment | NONE | NONE | — | 仅使用 os.homedir() 获取主目录,无遍历环境变量行为 |
1 findings
Medium External URL 外部 URL
https://openclaw.ai/schemas/plugin-manifest.v1.json openclaw.plugin.json:2 File Tree
6 files · 16.6 KB · 559 lines JavaScript 2f · 397L
JSON 3f · 97L
Markdown 1f · 65L
├─
config-tracker.js
JavaScript
├─
index.js
JavaScript
├─
openclaw.plugin.json
JSON
├─
package.json
JSON
├─
plugin.json
JSON
└─
SKILL.md
Markdown
Security Positives
✓ 代码与文档完全一致,无影子功能
✓ 使用 spawnSync 数组参数传递 git 命令,无命令注入风险
✓ commitChanges() 明确限定只提交变更文件,从不使用 'git add .'
✓ 存在冷却机制 (5秒 cooldown) 防止频繁提交
✓ 无第三方依赖,仅使用 Node.js 内置模块
✓ 无网络请求,无数据外泄风险
✓ 无 Base64 编码、eval 等混淆技术
✓ git 仓库初始化使用 dummy commit,符合 git 最佳实践