中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 0/100
Last scan:2 hr ago Rescan
0 /100
totalreclaw
端到端加密的AI代理内存系统 - 客户端AES-256-GCM加密
TotalReclaw是一个合法的端到端加密内存插件,使用AES-256-GCM加密、Argon2id密钥派生和BIP-39助记词,pre-scan标记的base64使用是用于合法的加密操作,测试文件中的硬编码凭证不会影响生产环境。
Skill Nametotalreclaw
Duration67.8s
Enginepi
ClawHub Plugin v3.5.0 by p-diogo
📥 262
ClawHub Verdict Suspicious llm_suspiciouspotential_exfiltrationprompt_injection_instructions
Safe to install
该技能安全可用,无需额外安全措施。
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned SKILL.md:仅用于MEMORY.md和credentials.json读写
Network READ READ ✓ Aligned 仅访问api.totalreclaw.xyz声明的API端点
Shell NONE NONE 无shell命令执行
3 Critical 1 High 31 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(saltStr, 'base64'
index.ts:411
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(b64, 'base64'
index.ts:886
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(encryptedBase64, 'base64'
pocv2-e2e-test.ts:141
🔑
High API Key 疑似硬编码凭证
Password = 'pocv2-e2e-test-password-2026'
pocv2-e2e-test.ts:401
🔗
Medium External URL 外部 URL
https://clawhub.ai
CLAWHUB.md:3
🔗
Medium External URL 外部 URL
https://clawhub.ai/skills/totalreclaw
CLAWHUB.md:10
🔗
Medium External URL 外部 URL
https://totalreclaw.xyz
CLAWHUB.md:67
🔗
Medium External URL 外部 URL
http://your-totalreclaw-server:8080
README.md:26
🔗
Medium External URL 外部 URL
http://127.0.0.1:8080
README.md:246
🔗
Medium External URL 外部 URL
http://your-server:8080
README.md:273
🔗
Medium External URL 外部 URL
https://www.npmjs.com/package/@totalreclaw/core
README.md:313
🔗
Medium External URL 外部 URL
https://totalreclaw.xyz/pricing
SKILL.md:221
🔗
Medium External URL 外部 URL
https://checkout.stripe.com/c/pay/...
SKILL.md:280
🔗
Medium External URL 外部 URL
https://api.totalreclaw.xyz
SKILL.md:923
🔗
Medium External URL 外部 URL
https://api.mem0.ai
import-adapters/mem0-adapter.ts:156
🔗
Medium External URL 外部 URL
https://api.z.ai/api/paas/v4
llm-client.ts:76
🔗
Medium External URL 外部 URL
https://api.mistral.ai/v1
llm-client.ts:81
🔗
Medium External URL 外部 URL
https://api.groq.com/openai/v1
llm-client.ts:82
🔗
Medium External URL 外部 URL
https://api.deepseek.com/v1
llm-client.ts:83
🔗
Medium External URL 外部 URL
https://openrouter.ai/api/v1
llm-client.ts:84
🔗
Medium External URL 外部 URL
https://api.x.ai/v1
llm-client.ts:85
🔗
Medium External URL 外部 URL
https://api.together.xyz/v1
llm-client.ts:86
🔗
Medium External URL 外部 URL
https://api.cerebras.ai/v1
llm-client.ts:87
🔗
Medium External URL 外部 URL
https://opencollective.com/libvips
package-lock.json:78
🔗
Medium External URL 外部 URL
https://paulmillr.com/funding/
package-lock.json:626
🔗
Medium External URL 外部 URL
https://www.patreon.com/feross
package-lock.json:937
🔗
Medium External URL 外部 URL
https://feross.org/support
package-lock.json:941
🔗
Medium External URL 外部 URL
https://www.npmjs.com/support
package-lock.json:963
🔗
Medium External URL 外部 URL
https://rpc.gnosischain.com
subgraph-store.ts:89
🔗
Medium External URL 外部 URL
https://sepolia.base.org
subgraph-store.ts:91
📧
Info Email 邮箱地址
[email protected]
package-lock.json:597

File Tree

38 files · 581.7 KB · 16615 lines
TypeScript 30f · 12355L JSON 4f · 2644L Markdown 3f · 1597L Shell 1f · 19L
├─ 📁 import-adapters
│ ├─ 📜 base-adapter.ts TypeScript 92L · 2.6 KB
│ ├─ 📜 chatgpt-adapter.ts TypeScript 323L · 10.2 KB
│ ├─ 📜 claude-adapter.ts TypeScript 146L · 4.4 KB
│ ├─ 📜 import-adapters.test.ts TypeScript 1123L · 43.7 KB
│ ├─ 📜 index.ts TypeScript 28L · 1.1 KB
│ ├─ 📜 mcp-memory-adapter.ts TypeScript 276L · 7.9 KB
│ ├─ 📜 mem0-adapter.ts TypeScript 233L · 6.2 KB
│ └─ 📜 types.ts TypeScript 112L · 3.6 KB
├─ 📜 api-client.ts TypeScript 328L · 10.3 KB
├─ 📝 CLAWHUB.md Markdown 134L · 4.6 KB
├─ 📜 config.ts TypeScript 81L · 3.7 KB
├─ 📜 consolidation.test.ts TypeScript 356L · 12.1 KB
├─ 📜 consolidation.ts TypeScript 227L · 7.5 KB
├─ 📜 crypto.ts TypeScript 148L · 5.1 KB
├─ 📜 embedding.ts TypeScript 95L · 3.0 KB
├─ 📜 extractor-dedup.test.ts TypeScript 168L · 5.9 KB
├─ 📜 extractor.ts TypeScript 365L · 13.3 KB
├─ 📜 generate-mnemonic.ts TypeScript 14L · 573 B
├─ 📜 hot-cache-wrapper.ts TypeScript 126L · 4.3 KB
├─ 📜 index.ts TypeScript 3637L · 144.0 KB
├─ 📜 llm-client.ts TypeScript 471L · 14.6 KB
├─ 📜 lsh.test.ts TypeScript 463L · 15.7 KB
├─ 📜 lsh.ts TypeScript 63L · 1.7 KB
├─ 📋 openclaw.plugin.json JSON 26L · 681 B
├─ 📋 package-lock.json JSON 2359L · 84.3 KB
├─ 📋 package.json JSON 46L · 1005 B
├─ 📜 pocv2-e2e-test.ts TypeScript 917L · 32.1 KB
├─ 📝 README.md Markdown 436L · 12.2 KB
├─ 📜 reranker.test.ts TypeScript 594L · 20.7 KB
├─ 📜 reranker.ts TypeScript 451L · 14.0 KB
├─ 📜 semantic-dedup.test.ts TypeScript 392L · 13.5 KB
├─ 📜 semantic-dedup.ts TypeScript 100L · 3.4 KB
├─ 🔧 setup.sh Shell 19L · 531 B
├─ 📋 skill.json JSON 213L · 6.4 KB
├─ 📝 SKILL.md Markdown 1027L · 30.5 KB
├─ 📜 store-dedup-wiring.test.ts TypeScript 186L · 7.7 KB
├─ 📜 subgraph-search.ts TypeScript 327L · 9.4 KB
└─ 📜 subgraph-store.ts TypeScript 513L · 19.2 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
@totalreclaw/client ^0.8.0 npm No 官方依赖
@totalreclaw/core ^1.0.0 npm No WASM加密模块

Security Positives

✓ 使用AES-256-GCM端到端加密,服务器永不看到明文
✓ 使用Argon2id密钥派生(安全的密码学原语)
✓ 使用BIP-39助记词作为恢复机制
✓ 恢复短语从不发送到服务器(客户端派生密钥)
✓ 无代码执行(eval、exec、spawn均未发现)
✓ 无凭证收割(仅读取TOTALRECLAW_*前缀的环境变量)
✓ 无远程脚本执行(curl/wget无管道到bash)
✓ 使用WASM模块进行加密操作(可审计)
✓ 标准Bearer Token认证
✓ 文档与行为一致,无阴影功能