openclaw-mobile-gateway-installer 安全扫描报告 — 可信 | ClawSafe

8 /100

openclaw-mobile-gateway-installer

Installs and manages OpenClaw mobile gateway as a system service

openclaw-mobile-gateway-installer 是一个合法的服务安装器，代码功能与文档描述一致，未发现恶意行为、凭证收割或数据外泄迹象。预扫描标记的 rm -rf / 属于误报，实际命令为 rm -rf "${INSTALL_DIR}"（默认 /opt/openclaw-mobile-gateway），变量已安全初始化。

技能名称openclaw-mobile-gateway-installer

分析耗时59.5s

引擎pi

✓

可以安装

无需限制，可正常部署使用。

安全发现 3 项

严重性	安全发现	位置
低危	部署脚本需要 sudo 权限权限提升 install.sh 和 uninstall.sh 需 sudo 权限管理 systemd 服务和 /opt 目录。符合服务部署工具的正常需求，不构成恶意越权。 `sudo mkdir -p "${INSTALL_DIR}"` → 确保部署环境隔离，仅授予最小必要权限	`install.sh:33`
低危	npm 依赖无版本锁定供应链 package.json 中 express、zod、tsx 等依赖使用 ^ 范围，允许次版本更新，存在间接供应链风险。 `"express": "^4.19.2"` → 建议固定精确版本以提升可重现性	`backend/package.json:14`
提示	凭证写入环境配置文件敏感访问 install.sh 将 OPENCLAW_AUTH_HEADER_VALUE（Bearer token）等凭证写入 /etc/openclaw-mobile-gateway/env，属于标准服务配置实践，仅本地 root 可读。 `OPENCLAW_AUTH_HEADER_VALUE=${OPENCLAW_AUTH_HEADER_VALUE}` → 生产环境建议使用 systemd Secret 或 vault 管理凭证	`install.sh:60`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	install.sh:44 sudo systemctl restart; uninstall.sh:6 sudo rm -rf
文件系统	`WRITE`	`WRITE`	✓ 一致	install.sh:37 sudo mkdir -p /opt/openclaw-mobile-gateway
环境变量	`WRITE`	`WRITE`	✓ 一致	install.sh:60-66 将 OPENCLAW_* 凭证写入 /etc/openclaw-mobile-gateway/env
网络访问	`NONE`	`READ`	✓ 一致	backend/src/store.ts:12-36 向 openclaw.local 和 gdcp.edu.cn 域名发起健康检查

1 严重 8 项发现

💀

严重危险命令危险 Shell 命令

rm -rf /

uninstall.sh:11

🔗

中危外部 URL 外部 URL

https://openclaw.example.com

README.md:15

🔗

中危外部 URL 外部 URL

https://openclaws.example.com

SKILL.md:29

🔗

中危外部 URL 外部 URL

http://127.0.0.1:4800/health

SKILL.md:47

🔗

中危外部 URL 外部 URL

https://alpha.openclaw.local/api

backend/src/store.ts:12

🔗

中危外部 URL 外部 URL

https://beta.openclaw.local/api

backend/src/store.ts:20

🔗

中危外部 URL 外部 URL

https://prod.openclaw.local/api

backend/src/store.ts:28

🔗

中危外部 URL 外部 URL

https://openclaws.gdcp.edu.cn

backend/src/store.ts:36

目录结构

14 文件 · 93.4 KB · 3230 行

TypeScript 7f · 2954L Shell 3f · 131L Markdown 2f · 95L JSON 2f · 50L

├─ ▾ 📁 backend

│ ├─ ▾ 📁 src

│ │ ├─ 📜 app.ts TypeScript 576L · 15.6 KB

│ │ ├─ 📜 index.ts TypeScript 8L · 209 B

│ │ ├─ 📜 schemas.ts TypeScript 252L · 6.6 KB

│ │ ├─ 📜 services.ts TypeScript 1643L · 53.1 KB

│ │ ├─ 📜 store.ts TypeScript 231L · 6.2 KB

│ │ ├─ 📜 types.ts TypeScript 240L · 4.4 KB

│ │ └─ 📜 utils.ts TypeScript 4L · 156 B

│ ├─ 📋 package.json JSON 29L · 670 B

│ └─ 📋 tsconfig.json JSON 21L · 368 B

├─ 🔧 check.sh Shell 29L · 735 B

├─ 🔧 install.sh Shell 88L · 2.8 KB

├─ 📝 README.md Markdown 43L · 882 B

├─ 📝 SKILL.md Markdown 52L · 1.3 KB

└─ 🔧 uninstall.sh Shell 14L · 450 B

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`express`	`^4.19.2`	npm	否	无版本锁定
`cors`	`^2.8.5`	npm	否	无版本锁定
`zod`	`^3.23.8`	npm	否	无版本锁定
`tsx`	`^4.16.2`	npm	否	devDependency，无版本锁定

安全亮点

✓ 无 base64 编码或 eval 混淆

✓ 无凭证收割（不遍历 os.environ 匹配敏感关键字）

✓ 无外部数据外泄（网络请求仅指向预配置的目标域名）

✓ 无反向 shell 或 C2 通信

✓ 文档描述与代码行为高度一致，无阴影功能

✓ 使用 Zod schema 进行输入校验，防止注入攻击

✓ 使用 safeSegment() 防止路径遍历