Name: openclaw-memory-auto 安全扫描报告 — 可信 | ClawSafe
Item: openclaw-memory-auto
Rating: 95
Author: ClawSafe

5 /100

openclaw-memory-auto

OpenClaw 自动内存归档插件 - 自动归档昨日聊天记录并生成工作日志

合法的 OpenClaw 内存自动归档插件，代码清晰可审计，无恶意行为，无数据外泄，无未声明的敏感操作。

技能名称openclaw-memory-auto

分析耗时52.2s

引擎pi

ClawHub Memory Auto Archive v1.0.0 by yanshijun607-png

📥 191

ClawHub 判定可疑 dangerous_execllm_suspiciousvt_suspicious

✓

可以安装

批准使用。代码行为与文档描述一致，功能范围明确，权限请求合理。

安全发现 1 项

严重性	安全发现	位置
提示	硬编码开发路径（开发遗留）文档欺骗 index.js 第66行存在硬编码路径 'C:\\Users\\42517\\.openclaw\\agents\\main\\sessions'。这是开发测试遗留代码，在正常执行路径中不会触发（archiveYesterday() 调用后执行 psArgs 但该路径在 findTranscripts 中未被使用）。 `const transcriptDir = 'C:\\Users\\42517\\.openclaw\\agents\\main\\sessions';` → 移除此开发遗留代码，使用 workspace 相对路径。	`index.js:66`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ/WRITE`	✓ 一致	src/archiver.ts:42-89 - 在workspace内读写memory/logs目录，符合工作需要
网络访问	`NONE`	`NONE`	—	全文无任何网络请求
命令执行	`NONE`	`NONE`	—	全文无subprocess/eval/exec调用
环境变量	`NONE`	`READ`	✓ 一致	仅读取OPENCLAW_WORKSPACE用于定位工作目录

2 项发现

🔗

中危外部 URL 外部 URL

https://clawhub.ai/skills/publish

PUBLISH.md:18

🔗

中危外部 URL 外部 URL

https://json.schemastore.org/default

keywords.json:2

目录结构

24 文件 · 54.5 KB · 1836 行

Markdown 6f · 798L TypeScript 8f · 518L JavaScript 5f · 410L JSON 3f · 88L Ignore 1f · 17L Text 1f · 5L

├─ ▾ 📁 src

│ ├─ 📜 archiver.ts TypeScript 190L · 6.4 KB

│ ├─ 📜 config.ts TypeScript 38L · 930 B

│ ├─ 📜 defaults.ts TypeScript 62L · 1.7 KB

│ ├─ 📜 index.ts TypeScript 55L · 1.7 KB

│ ├─ 📜 refiner.ts TypeScript 68L · 2.1 KB

│ ├─ 📜 test.ts TypeScript 18L · 567 B

│ └─ 📜 types.ts TypeScript 57L · 1.1 KB

├─ 📄 .gitignore Ignore 17L · 239 B

├─ 📝 CHANGELOG.md Markdown 28L · 692 B

├─ 📝 CONFIGURATION.md Markdown 130L · 4.0 KB

├─ 📜 index.js JavaScript 81L · 2.2 KB

├─ 📋 keywords.json JSON 33L · 703 B

├─ 📄 LICENSE.txt Text 5L · 85 B

├─ 📋 package.json JSON 38L · 793 B

├─ 📜 plugin.ts TypeScript 30L · 894 B

├─ 📝 PUBLIC-README.md Markdown 226L · 5.3 KB

├─ 📝 PUBLISH.md Markdown 58L · 1.4 KB

├─ 📝 README.md Markdown 178L · 4.2 KB

├─ 📜 refine.js JavaScript 53L · 1.5 KB

├─ 📜 screenshot-demo.js JavaScript 99L · 7.8 KB

├─ 📝 SKILL.md Markdown 178L · 4.2 KB

├─ 📜 standalone-archive.js JavaScript 160L · 5.3 KB

├─ 📜 test.js JavaScript 17L · 542 B

└─ 📋 tsconfig.json JSON 17L · 407 B

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`openclaw`	`^0.5.0`	npm	否	主框架依赖
`typescript`	`^5`	dev	否	开发依赖
`@types/node`	`^20`	dev	否	类型定义

安全亮点

✓ 代码完全开源可审计，无混淆

✓ 无网络请求，无数据外泄风险

✓ 无凭证收割，无敏感文件访问

✓ 无shell执行，无RCE风险

✓ 文件系统操作限定在workspace内

✓ 关键词标记仅用于过滤，不提取敏感内容

✓ 使用 fast-glob 动态导入（代码中有占位但未使用，良性）

✓ 功能与文档描述完全一致