中文 EN

扫描报告

扫描新文件

可信 — 风险评分 15/100
上次扫描:4 小时前 重新扫描
15 /100
Enterprise Security
企业级安全套件 - 高危操作确认、自动备份、回滚机制、技能安检
企业级安全套件核心功能正常,activate.js 中 execSync 操作虽未在 SKILL.md 中声明,但属于部署工具合法需要且无恶意意图。
技能名称Enterprise Security
分析耗时35.7s
引擎pi
ClawHub enterprise-security-suite v1.0.1 by gk752448784
📥 225 📦 2
ClawHub 判定 可疑 dangerous_execllm_suspicious
可以安装
建议补充 activate.js 中 docker exec 操作的说明文档,移除硬编码的数据库凭证使用环境变量替代。

安全发现 2 项

严重性 安全发现 位置
低危
activate.js shell 操作未在文档声明 文档欺骗
激活脚本使用 execSync 执行 docker 命令写入 PostgreSQL 记忆,但 SKILL.md 未说明此操作
execSync(`docker exec -i pgmemory psql -U openclaw -d openclaw -c "${sql}"`)
→ 在 SKILL.md 安装步骤中补充说明激活脚本会执行 docker 命令
 activate.js:49
低危
硬编码数据库凭证 凭证窃取
activate.js 包含硬编码的 PostgreSQL 连接凭证 postgresql://openclaw:pgmemory@localhost:15432
const dbUri = 'postgresql://openclaw:pgmemory@localhost:15432/openclaw';
→ 使用环境变量 OPENCLAW_DB_URI 替代硬编码凭证
 activate.js:45
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 modules/backup.js:copyFileSync 用于备份
命令执行 NONE WRITE ✗ 越权 activate.js:49 execSync docker exec
环境变量 NONE READ ✓ 一致 modules/confirm.js:25 读取 OPENCLAW_WORKSPACE
数据库 NONE WRITE ✓ 一致 activate.js:51-52 写入 PostgreSQL

目录结构

8 文件 · 18.9 KB · 768 行
JavaScript 7f · 528L Markdown 1f · 240L
├─ 📁 modules
│ ├─ 📜 backup.js JavaScript 65L · 1.7 KB
│ ├─ 📜 changelog.js JavaScript 45L · 1.2 KB
│ ├─ 📜 confirm.js JavaScript 60L · 1.6 KB
│ ├─ 📜 rollback.js JavaScript 89L · 2.1 KB
│ └─ 📜 security-check.js JavaScript 158L · 4.2 KB
├─ 📜 activate.js JavaScript 75L · 2.9 KB
├─ 📜 index.js JavaScript 36L · 933 B
└─ 📝 SKILL.md Markdown 240L · 4.3 KB

安全亮点

✓ 核心功能(备份、回滚、安检)代码质量良好,逻辑清晰
✓ security-check.js 实现了完整的风险评估逻辑
✓ backup.js 支持多种文件类型的备份命名规范
✓ 无外部网络请求,无数据外传
✓ 无 base64 编码、eval、动态代码执行等高危操作
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ activate.js 中的 docker exec 是部署工具合法操作