evermind-ai-everos 安全扫描报告 — 可疑 | ClawSafe

32 /100

evermind-ai-everos

EverOS OpenClaw Plugin - 持久化自然语言记忆插件，通过ContextEngine API实现自动记忆召回和保存

EverOS OpenClaw记忆插件存在文档-行为差异（SKILL.md未声明配置文件读写和shell执行），但实际功能为合法的OpenClaw插件安装，网络通信仅限本地backend，无恶意凭证收割或数据外泄。

技能名称evermind-ai-everos

分析耗时75.6s

引擎pi

⚠

谨慎使用

建议补全SKILL.md声明，明确列出filesystem/shell权限用途；README中的curl|sh命令为标准部署流程，建议用户自行执行而非自动化。

安全发现 4 项

严重性	安全发现	位置
中危	SKILL.md未声明配置文件读写权限文档欺骗 SKILL.md声明filesystem能力为NONE，但bin/install.js实际读写~/.openclaw/openclaw.json并复制插件文件到~/.openclaw/plugins/目录。这是典型的文档-行为差异（shadow capability），占比73.2%恶意skill的特征。 fs.writeFileSync(CONFIG_PATH, `${JSON.stringify(config, null, 2)}\n`...) → 在SKILL.md的Onboarding章节明确声明：本技能需要写入~/.openclaw/openclaw.json配置文件	`bin/install.js:167`
中危	SKILL.md未声明shell执行权限文档欺骗 SKILL.md声明shell能力为NONE，但bin/install.js执行'exopenclaw gateway restart'重启OpenClaw网关。 `exec('openclaw gateway restart', ...)` → 在SKILL.md明确声明Step 4会执行openclaw gateway restart命令	`bin/install.js:222`
低危	README文档包含curl\|sh危险命令供应链 README.md:70和README.zh.md包含'curl -LsSf https://astral.sh/uv/install.sh \| sh'远程脚本执行命令。这是高危Shell模式，但属于文档说明而非代码执行。 `curl -LsSf https://astral.sh/uv/install.sh \| sh` → 建议拆分为两步：先下载脚本检查内容，再执行；或建议用户手动安装uv后使用pip	`README.md:70`
提示	读取HOME环境变量定位配置目录敏感访问 bin/install.js:42读取HOME/USERPROFILE环境变量定位~/.openclaw路径。这是标准的Unix路径解析，无越权风险。 `const HOME_DIR = process.env.HOME \|\| process.env.USERPROFILE;` → 无需修复，这是安装程序的标准做法	`bin/install.js:42`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✗ 越权	bin/install.js:167,170 读写~/.openclaw/openclaw.json和复制插件文件
网络访问	`NONE`	`READ+WRITE`	✗ 越权	src/api.js:37-38 向localhost:1995发送HTTP请求
命令执行	`NONE`	`WRITE`	✗ 越权	bin/install.js:222 exec('openclaw gateway restart')
环境变量	`NONE`	`READ`	✗ 越权	bin/install.js:42 读取HOME/USERPROFILE环境变量

1 严重 2 项发现

💀

严重危险命令危险 Shell 命令

curl -LsSf https://astral.sh/uv/install.sh | sh

README.md:70

🔗

中危外部 URL 外部 URL

https://astral.sh/uv/install.sh

README.md:70

目录结构

17 文件 · 66.3 KB · 2210 行

JavaScript 12f · 1435L Markdown 3f · 680L JSON 2f · 95L

├─ ▾ 📁 bin

│ └─ 📜 install.js JavaScript 370L · 11.1 KB

├─ ▾ 📁 src

│ ├─ 📜 api.js JavaScript 81L · 2.9 KB

│ ├─ 📜 config.js JavaScript 14L · 457 B

│ ├─ 📜 convert.js JavaScript 64L · 2.1 KB

│ ├─ 📜 engine.js JavaScript 319L · 10.9 KB

│ ├─ 📜 http.js JavaScript 50L · 1.7 KB

│ ├─ 📜 messages.js JavaScript 47L · 2.0 KB

│ ├─ 📜 prompt.js JavaScript 152L · 5.1 KB

│ ├─ 📜 subagent-assembler.js JavaScript 96L · 2.9 KB

│ ├─ 📜 subagent-tracker.js JavaScript 116L · 2.7 KB

│ └─ 📜 types.js JavaScript 107L · 4.2 KB

├─ 📜 index.js JavaScript 19L · 684 B

├─ 📋 openclaw.plugin.json JSON 50L · 1.5 KB

├─ 📋 package.json JSON 45L · 847 B

├─ 📝 README.md Markdown 175L · 4.4 KB

├─ 📝 README.zh.md Markdown 175L · 4.4 KB

└─ 📝 SKILL.md Markdown 330L · 8.3 KB

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`node:fs`	`内置`	Node.js	否	标准文件系统模块
`node:child_process`	`内置`	Node.js	否	用于执行openclaw restart命令
`node:crypto`	`内置`	Node.js	否	用于生成确定性消息ID
`fetch (global)`	`内置`	Node.js 18+	否	用于HTTP请求到本地backend

安全亮点

✓ 无凭证收割行为（未访问~/.ssh、~/.aws、.env等敏感路径）

✓ 无数据外泄（网络通信仅限localhost:1995本地backend）

✓ 无反向shell或C2通信

✓ 无代码混淆（纯JavaScript可读代码）

✓ 仅使用Node.js内置模块，无第三方依赖风险

✓ 配置文件写入前自动备份（.bak文件）

✓ 代码结构清晰，API调用逻辑简单可审计