中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 8/100
Last scan:8 hr ago Rescan
8 /100
openclaw-mobile-gateway-installer
Installs and manages OpenClaw mobile gateway as a system service
openclaw-mobile-gateway-installer 是一个合法的服务安装器,代码功能与文档描述一致,未发现恶意行为、凭证收割或数据外泄迹象。预扫描标记的 rm -rf / 属于误报,实际命令为 rm -rf "${INSTALL_DIR}"(默认 /opt/openclaw-mobile-gateway),变量已安全初始化。
Skill Nameopenclaw-mobile-gateway-installer
Duration59.5s
Enginepi
Safe to install
无需限制,可正常部署使用。

Findings 3 items

Severity Finding Location
Low
部署脚本需要 sudo 权限 Priv Escalation
install.sh 和 uninstall.sh 需 sudo 权限管理 systemd 服务和 /opt 目录。符合服务部署工具的正常需求,不构成恶意越权。
sudo mkdir -p "${INSTALL_DIR}"
→ 确保部署环境隔离,仅授予最小必要权限
 install.sh:33
Low
npm 依赖无版本锁定 Supply Chain
package.json 中 express、zod、tsx 等依赖使用 ^ 范围,允许次版本更新,存在间接供应链风险。
"express": "^4.19.2"
→ 建议固定精确版本以提升可重现性
 backend/package.json:14
Info
凭证写入环境配置文件 Sensitive Access
install.sh 将 OPENCLAW_AUTH_HEADER_VALUE(Bearer token)等凭证写入 /etc/openclaw-mobile-gateway/env,属于标准服务配置实践,仅本地 root 可读。
OPENCLAW_AUTH_HEADER_VALUE=${OPENCLAW_AUTH_HEADER_VALUE}
→ 生产环境建议使用 systemd Secret 或 vault 管理凭证
 install.sh:60
ResourceDeclaredInferredStatusEvidence
Shell WRITE WRITE ✓ Aligned install.sh:44 sudo systemctl restart; uninstall.sh:6 sudo rm -rf
Filesystem WRITE WRITE ✓ Aligned install.sh:37 sudo mkdir -p /opt/openclaw-mobile-gateway
Environment WRITE WRITE ✓ Aligned install.sh:60-66 将 OPENCLAW_* 凭证写入 /etc/openclaw-mobile-gateway/env
Network NONE READ ✓ Aligned backend/src/store.ts:12-36 向 openclaw.local 和 gdcp.edu.cn 域名发起健康检查
1 Critical 8 findings
💀
Critical Dangerous Command 危险 Shell 命令
rm -rf /
uninstall.sh:11
🔗
Medium External URL 外部 URL
https://openclaw.example.com
README.md:15
🔗
Medium External URL 外部 URL
https://openclaws.example.com
SKILL.md:29
🔗
Medium External URL 外部 URL
http://127.0.0.1:4800/health
SKILL.md:47
🔗
Medium External URL 外部 URL
https://alpha.openclaw.local/api
backend/src/store.ts:12
🔗
Medium External URL 外部 URL
https://beta.openclaw.local/api
backend/src/store.ts:20
🔗
Medium External URL 外部 URL
https://prod.openclaw.local/api
backend/src/store.ts:28
🔗
Medium External URL 外部 URL
https://openclaws.gdcp.edu.cn
backend/src/store.ts:36

File Tree

14 files · 93.4 KB · 3230 lines
TypeScript 7f · 2954L Shell 3f · 131L Markdown 2f · 95L JSON 2f · 50L
├─ 📁 backend
│ ├─ 📁 src
│ │ ├─ 📜 app.ts TypeScript 576L · 15.6 KB
│ │ ├─ 📜 index.ts TypeScript 8L · 209 B
│ │ ├─ 📜 schemas.ts TypeScript 252L · 6.6 KB
│ │ ├─ 📜 services.ts TypeScript 1643L · 53.1 KB
│ │ ├─ 📜 store.ts TypeScript 231L · 6.2 KB
│ │ ├─ 📜 types.ts TypeScript 240L · 4.4 KB
│ │ └─ 📜 utils.ts TypeScript 4L · 156 B
│ ├─ 📋 package.json JSON 29L · 670 B
│ └─ 📋 tsconfig.json JSON 21L · 368 B
├─ 🔧 check.sh Shell 29L · 735 B
├─ 🔧 install.sh Shell 88L · 2.8 KB
├─ 📝 README.md Markdown 43L · 882 B
├─ 📝 SKILL.md Markdown 52L · 1.3 KB
└─ 🔧 uninstall.sh Shell 14L · 450 B

Dependencies 4 items

PackageVersionSourceKnown VulnsNotes
express ^4.19.2 npm No 无版本锁定
cors ^2.8.5 npm No 无版本锁定
zod ^3.23.8 npm No 无版本锁定
tsx ^4.16.2 npm No devDependency,无版本锁定

Security Positives

✓ 无 base64 编码或 eval 混淆
✓ 无凭证收割(不遍历 os.environ 匹配敏感关键字)
✓ 无外部数据外泄(网络请求仅指向预配置的目标域名)
✓ 无反向 shell 或 C2 通信
✓ 文档描述与代码行为高度一致,无阴影功能
✓ 使用 Zod schema 进行输入校验,防止注入攻击
✓ 使用 safeSegment() 防止路径遍历