Name: MemOptimizer Security Report — Low Risk | ClawSafe
Item: MemOptimizer
Rating: 80
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

20 /100

MemOptimizer

记忆优化与压缩工具，结合 self-improving 机制

MemOptimizer 是合法的记忆优化工具，无恶意行为。存在轻微文档-实现差异（未声明 shell 执行和跨智能体 memory 访问），但均为合理的系统监控功能。

Skill NameMemOptimizer

Duration62.9s

Enginepi

ClawHub Mem Optimizer v1.2.0 by doony15

📥 170

ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious

✓

Safe to install

建议在 SKILL.md 中补充声明 shell 执行（系统监控）和跨智能体 memory 访问功能，以消除文档差异。

Findings 3 items

Severity	Finding	Location
Low	Shell 执行未声明 Doc Mismatch getServerStatus() 函数通过 exec 执行系统命令（top, free, df, uptime）获取服务器状态，用于每日报告。SKILL.md 在「每日总结报告」中提到服务器状态但未说明是通过 shell 命令获取。 `exec(commands[key], (err, stdout, stderr) => { ... })` → 在 SKILL.md 中明确说明会执行只读的系统命令来获取服务器监控信息	`index.js:243`
Low	跨智能体 memory 访问未声明 Doc Mismatch scanAllAgentsWorkspaces() 函数会扫描 /root/.openclaw/agents/ 下所有智能体的工作空间，访问其 memory 目录。SKILL.md 主要描述单智能体优化场景，多智能体功能描述较简略。 const workspacePath = `/root/.openclaw/workspace-${agentId}` → 在 SKILL.md 中明确说明多智能体模式会访问其他智能体的 memory 目录	`index.js:314`
Low	tools.json 参数声明不完整 Doc Mismatch mem_optimize 函数实际支持 multiAgent、message、text、includeReflection 等参数，但 tools.json 仅声明了 dryRun 参数。 `实际代码支持 params.multiAgent, params.message, params.includeReflection` → 更新 tools.json 声明以匹配实际参数	`tools.json:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	index.js:34 scanMemoryFiles 扫描 memory 目录
Shell	`NONE`	`READ`	✗ Violation	index.js:243 getServerStatus 使用 exec 执行 top/free/df 命令
Environment	`NONE`	`NONE`	—	无访问环境变量的代码

File Tree

3 files · 34.0 KB · 1179 lines

JavaScript 1f · 827L Markdown 1f · 302L JSON 1f · 50L

├─ 📜 index.js JavaScript 827L · 25.0 KB

├─ 📝 SKILL.md Markdown 302L · 7.6 KB

└─ 📋 tools.json JSON 50L · 1.4 KB

✓ 无凭证收割行为，不读取 .ssh、.aws、.env 等敏感路径

✓ 无网络外传行为，不存在数据外泄风险

✓ 无代码混淆或恶意编码

✓ 无持久化后门植入

✓ 文件写入仅限 memory 目录且需要 dryRun: false

✓ shell 命令为只读系统监控命令（top/free/df/uptime）

✓ 默认 dryRun: true 预览模式保护用户数据