Skill Trust Decision

agent-guardian

Name: agent-guardian Trust Review Report
Item: agent-guardian
Rating: 68
Author: ClawSafe

Agent Guardian 是一个合法的 AI 助手体验监控系统，但存在依赖管理不规范（pip 无版本锁定）、权限配置过宽（systemd 以 root 运行）、patch 脚本可能修改系统插件等问题，属于低风险工具。

Install decision first Source: ClawHub Scanned: Apr 6, 2026

Files 14

Artifacts 0

Violations 0

Findings 4

Why this conclusion was reached

0/4 dimensions flagged

Pass

Declared vs actual capability

Declared resources and inferred behavior are broadly aligned.

Pass

Hidden execution and egress

No obvious high-risk egress or execution signals were found.

Pass

Attack chain and severe findings

There is no explicit malicious chain in the report.

Review

Dependencies and supply chain hygiene

2 dependency or supply-chain issues need attention.

What drove the risk score up

pip install 无版本锁定 +10

install.sh:60 安装 langdetect 时未指定版本，存在供应链风险

systemd 服务以 root 运行 +8

install.sh:75 配置 User=root，监控工具无需高权限

patch 脚本写入 openclaw 目录 +6

apply-qqbot-patch.sh:10 尝试修改 /root/.openclaw 插件

依赖 apt-get 安装系统包 +5

install.sh:64 apt-get install inotify-tools 无版本指定

文档-行为一致 +-5

SKILL.md 完整描述了所有组件功能

无敏感数据访问 +-5

仅操作 /tmp/ 目录，无凭证收割

Most important evidence

Medium Supply Chain

Python 依赖无版本锁定

install.sh 第60行使用 pip3 install langdetect 无版本约束，可能安装恶意或不稳定版本

scripts/install.sh:60

使用 pip3 install langdetect==1.0.40 或 pip-compile 生成 requirements.txt

Medium Priv Escalation

systemd 服务以 root 权限运行

install.sh 配置 systemd 服务时指定 User=root，监控工具应以低权限用户运行

scripts/install.sh:75

创建专用用户如 'guardian' 并使用 User=guardian

Low Supply Chain

apt-get 安装系统包无版本指定

install.sh 第64行 apt-get install inotify-tools，虽然风险较低但缺乏确定性

scripts/install.sh:64

记录已安装版本，便于回溯

Low Sensitive Access

patch 脚本访问 openclaw 插件目录

apply-qqbot-patch.sh 尝试写入 /root/.openclaw/extensions/qqbot，可能修改系统插件

scripts/apply-qqbot-patch.sh:10

确认操作权限，在非生产环境测试

Declared capability vs actual capability

Filesystem Pass

Declared WRITE

→

Inferred WRITE

所有脚本读写 /tmp/ 目录状态文件

Shell Pass

Declared WRITE

→

Inferred WRITE

crontab/systemd/sed/awk/ps 等系统工具

Network Pass

Declared NONE

→

Inferred READ

仅通过 openclaw CLI 间接通信

Environment Pass

Declared NONE

→

Inferred READ

smart-status-report.sh:6-7 设置 PATH/HOME

Skill Invoke Pass

Declared NONE

→

Inferred NONE

无跨 skill 调用

Clipboard Pass

Declared NONE

→

Inferred NONE

无剪贴板操作

Browser Pass

Declared NONE

→

Inferred NONE

无浏览器操作

Database Pass

Declared NONE

→

Inferred NONE

无数据库操作

Suspicious artifacts and egress

No obvious IOC was extracted.

Dependencies and supply chain

Package	Version	Source	Known vuln	Notes
langdetect	`*`	pip	No	无版本锁定，建议固定 1.0.40
inotify-tools	`*`	apt	No	无版本锁定

File composition

14 files · 1214 lines

Shell 7 files · 567 linesMarkdown 3 files · 353 linesPython 3 files · 285 linesJSON 1 files · 9 lines

Files of concern · 2

scripts/install.sh Shell · 132 lines

Python 依赖无版本锁定 · systemd 服务以 root 权限运行 · apt-get 安装系统包无版本指定

scripts/apply-qqbot-patch.sh Shell · 93 lines

patch 脚本访问 openclaw 插件目录

Other files · msg-queue.py · SKILL.md · supervisor.sh · qqbot.md · lang-filter.py · generic.md +4

14 files · 39.9 KB · 1214 lines

Shell 7f · 567LMarkdown 3f · 353LPython 3f · 285LJSON 1f · 9L

├─ ▾ 📁 references

│ └─ ▾ 📁 patches

│ ├─ 📝 generic.md Markdown 86L · 2.9 KB

│ └─ 📝 qqbot.md Markdown 132L · 3.8 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 apply-qqbot-patch.sh Shell 93L · 4.2 KB

│ ├─ 🐍 detect-language.py Python 60L · 1.7 KB

│ ├─ 🔧 install.sh Shell 132L · 4.4 KB

│ ├─ 🐍 lang-filter.py Python 89L · 3.2 KB

│ ├─ 🐍 msg-queue.py Python 136L · 4.9 KB

│ ├─ 🔧 reset-work-state.sh Shell 22L · 516 B

│ ├─ 🔧 smart-status-report.sh Shell 56L · 1.9 KB

│ ├─ 🔧 status-query-daemon.sh Shell 70L · 2.2 KB

│ ├─ 🔧 supervisor.sh Shell 142L · 3.8 KB

│ └─ 🔧 update-work-state.sh Shell 52L · 1.3 KB

├─ 📝 SKILL.md Markdown 135L · 4.8 KB

└─ 📋 _meta.json JSON 9L · 393 B

Security positives

文档完整详尽，所有组件功能均有说明

无凭证收割行为，不访问 ~/.ssh、~/.aws、.env 等敏感路径

无网络直连，不存在 C2 通信或数据外泄

无代码混淆，所有脚本可读性良好

功能边界清晰：仅监控 AI 助手体验问题

配置文件写入 /tmp/ 而非用户目录