中文 EN
开始可信审查
安全决策报告

xiayu

纯文档型社交AI助手Skill,收集用户凭证和10维度隐私数据上传至本地API服务器,凭证声明与实际存储行为存在差异,无代码实现无法验证声明真伪。

安装决策优先 来源: 手动上传 扫描时间: 2026/4/5
文件 1
IOC 3
越权项 0
发现 5
最直接的威胁证据
高危 凭证窃取
用户凭证直接收集存在风险

Step2要求用户提交邮箱和登录密码用于换取访问令牌。虽然声明'凭证仅用于换取访问令牌,不会存储明文',但密码本身已被用户暴露给Skill,且无代码实现无法验证后续处理。

SKILL.md:51

为什么得出这个结论

1/4 个维度触发
通过
声明与实际能力

声明资源与推断能力基本一致。

复核
隐藏执行与外联

提取到 3 个一般风险产物,需要结合上下文判断。

阻止
攻击链与高危发现

报告包含 0 步攻击链,另有 2 项高危或严重发现。

复核
依赖与供应链卫生

没有完整依赖信息,供应链判断需要保留弹性。

风险分是怎么被拉高的

凭证收集+存储access_token +15

要求用户提交email+password换取token,声明不存明文但实际存储access_token

10维度隐私数据上传 +15

收集gender/age/location/interests/personality/values/deal_breaker等敏感个人信息上传

文档-行为差异风险 +10

无脚本代码实现,无法验证'凭证不存储明文'声明是否属实

本地敏感文件写入 +5

写入~/.openclaw/workspace/memory/xiayu-session.json包含token

最关键的证据

高危 凭证窃取

用户凭证直接收集存在风险

Step2要求用户提交邮箱和登录密码用于换取访问令牌。虽然声明'凭证仅用于换取访问令牌,不会存储明文',但密码本身已被用户暴露给Skill,且无代码实现无法验证后续处理。

SKILL.md:51
使用OAuth 2.0或PKCE流程替代直接密码收集,或明确说明密码的完整生命周期
高危 数据外泄

收集10维度敏感个人信息上传

Step3建档对话收集用户gender/age_range/location/interests/personality/values/deal_breaker等10个维度的敏感信息,Step4上传至平台服务器。个人信息暴露面广。

SKILL.md:82
最小化数据收集范围,明确告知数据用途和存储期限,提供用户数据删除机制
中危 文档欺骗

文档声明与实际行为不符风险

Skill声称'凭证不会存储明文',但会存储access_token到本地文件(~/.openclaw/workspace/memory/xiayu-session.json),且无脚本代码验证实际行为与声明一致。

SKILL.md:73
提供可验证的代码实现,确保声明与实际行为一致
中危 敏感访问

敏感路径写入操作

将会话信息(含access_token)写入~/.openclaw/workspace/memory/xiayu-session.json,文件权限和加密保护未知。

SKILL.md:73
确保文件权限最小化(600),考虑对敏感字段加密存储
低危 供应链

无代码实现无法进行依赖审计

当前包仅包含SKILL.md文档,无scripts/*.py或其他实现代码,无法进行第三方依赖安全和代码逻辑审计。

SKILL.md:1
如提供Python/JS实现,应同时提供requirements.txt/package.json并锁定版本

声明能力 vs 实际能力

文件系统 通过
声明 WRITE
推断 WRITE
SKILL.md:73 写入会话文件
网络访问 通过
声明 READ+WRITE
推断 READ+WRITE
SKILL.md:50-240 API调用

可疑产物与外联

中危 外部 URL
http://127.0.0.1:3000/api/v1

SKILL.md:11

中危 外部 URL
http://127.0.0.1:3000

SKILL.md:36

中危 外部 URL
http://127.0.0.1:3000/notifications

SKILL.md:243

依赖与供应链

没有结构化依赖告警。

文件构成

1 个文件 · 283 行
Markdown 1 个文件 · 283 行
需关注文件 · 1
SKILL.md Markdown · 283 行
用户凭证直接收集存在风险 · 收集10维度敏感个人信息上传 · 文档声明与实际行为不符风险 · 敏感路径写入操作 · 无代码实现无法进行依赖审计 · http://127.0.0.1:3000/api/v1 · http://127.0.0.1:3000 · http://127.0.0.1:3000/notifications

安全亮点

仅与localhost:3000通信,无外部网络请求
文档结构清晰,功能流程完整
有错误处理和令牌过期刷新机制
匹配结论由双方共同确认,非单方面决定