Name: openclaw-usage-dashboard Security Report — Low Risk | ClawSafe
Item: openclaw-usage-dashboard
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

openclaw-usage-dashboard

OpenClaw API 使用统计仪表板，显示 token 消耗、请求计数和系统健康状况

合法的 OpenClaw 使用统计仪表板，零外部依赖，数据本地处理，设计安全。存在轻微的文件系统访问范围超出声明的瑕疵，但整体可信。

Skill Nameopenclaw-usage-dashboard

Duration42.9s

Enginepi

ClawHub OpenClaw Usage Dashboard v2.0.2 by vanhuelsing

📥 281 📦 1

ClawHub Verdict Suspicious dangerous_exec

✓

Safe to install

可安全使用。注意到读取了 openclaw.json 配置文件（超出声明的仅读日志范围），但代码有凭证过滤机制。如需进一步加固，可限制配置文件访问。

Findings 2 items

Severity	Finding	Location
Low	配置文件读取未声明 Doc Mismatch SKILL.md 声明只读取 'session logs'，但 server.js:313 的 getConfig() 函数还读取了 openclaw.json 配置文件，超出声明范围。不过该函数仅提取模型元数据，不含凭证，且代码有安全意识（见 sanitizeEntry）。 `const configPath = path.join(OPENCLAW_HOME, 'openclaw.json'); const raw = fs.readFileSync(configPath, 'utf8');` → 更新 SKILL.md 文档，声明也会读取 openclaw.json 以获取模型配置信息。	`server.js:313`
Low	读取会话日志路径声明宽泛 Sensitive Access SKILL.md 说读取 '~/.openclaw/agents//sessions/.jsonl'，路径模式较宽泛，但这是 OpenClaw 工具的标准日志路径，属于合理需求。 `OpenClaw session logs at ~/.openclaw/agents//sessions/.jsonl` → 无实际风险，属于正常的工具设计。	`SKILL.md:25`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	server.js:313 读取 openclaw.json 超出 SKILL.md 声明范围
Shell	`NONE`	`READ`	✓ Aligned	server.js:296-325 执行 vm_stat/df/memory_pressure 等系统命令
Network	`NONE`	`NONE`	—	仅监听 localhost:7842，无外部请求
Environment	`NONE`	`NONE`	—	仅使用 process.env.USERPROFILE 获取主目录

2 findings

🔗

Medium External URL 外部 URL

http://www.w3.org/2000/svg%22

dashboard.html:7

🔗

Medium External URL 外部 URL

https://clawhub.com

dashboard.html:269

File Tree

5 files · 81.2 KB · 1719 lines

HTML 1f · 856L JavaScript 1f · 641L Markdown 3f · 222L

├─ 📝 AUDIT.md Markdown 115L · 6.3 KB

├─ 📄 dashboard.html HTML 856L · 48.5 KB

├─ 📝 README.md Markdown 62L · 1.9 KB

├─ 📜 server.js JavaScript 641L · 22.7 KB

└─ 📝 SKILL.md Markdown 45L · 1.8 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`无外部依赖`	`N/A`	内置模块	No	仅使用 http, fs, path, os, child_process 内置模块

Security Positives

✓ 零外部依赖（仅用 Node.js 内置模块），无供应链风险

✓ 数据本地处理，从不外传，符合隐私设计原则

✓ 实现了凭证过滤（SECRET_PATTERNS），防止 API 密钥泄露

✓ shell 执行使用 spawn 数组参数，无注入风险

✓ HTTP 服务器仅监听 localhost，CORS 严格限制

✓ 敏感字段黑名单（RISKY_FIELDS）排除 systemPrompt、credentials 等高危字段

✓ 会话日志仅提取 usage 元数据，不处理完整消息内容

✓ 内存预算限制（MAX_SESSIONS, MEMORY_BUDGET_MB）防止资源耗尽

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives