扫描报告
5 /100
config-tracker
自动追踪并提交 OpenClaw 配置文件和关键 markdown 文件的变更
Config Tracker 是一个合法的 git 版本控制工具,代码与文档完全一致,无恶意行为,可安全使用。
可以安装
可安全部署使用。该技能执行受限于 workspace 目录和 ~/.openclaw/ 配置目录,符合声明用途。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | 使用 node:fs 读取 workspace 文件和 openclaw.json,仅用于检测变更 |
| 文件系统 | WRITE | WRITE | ✓ 一致 | 执行 git commit 写入操作,限 workspace 和 ~/.openclaw/ 目录 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | spawnSync('git', [...args]) 本地 git 操作,无远程执行或管道注入 |
| 网络访问 | NONE | NONE | — | 无任何网络请求,git 操作完全本地执行 |
| 环境变量 | NONE | NONE | — | 仅使用 os.homedir() 获取主目录,无遍历环境变量行为 |
1 项发现
中危 外部 URL 外部 URL
https://openclaw.ai/schemas/plugin-manifest.v1.json openclaw.plugin.json:2 目录结构
6 文件 · 16.6 KB · 559 行 JavaScript 2f · 397L
JSON 3f · 97L
Markdown 1f · 65L
├─
config-tracker.js
JavaScript
├─
index.js
JavaScript
├─
openclaw.plugin.json
JSON
├─
package.json
JSON
├─
plugin.json
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 代码与文档完全一致,无影子功能
✓ 使用 spawnSync 数组参数传递 git 命令,无命令注入风险
✓ commitChanges() 明确限定只提交变更文件,从不使用 'git add .'
✓ 存在冷却机制 (5秒 cooldown) 防止频繁提交
✓ 无第三方依赖,仅使用 Node.js 内置模块
✓ 无网络请求,无数据外泄风险
✓ 无 Base64 编码、eval 等混淆技术
✓ git 仓库初始化使用 dummy commit,符合 git 最佳实践