paw-chat Security Report — Trusted | ClawSafe

5 /100

paw-chat

OpenClaw Gateway Web 聊天前端，纯静态文件通过 WebSocket 连接 Gateway

Paw 是 OpenClaw Gateway 的合法 Web 聊天前端，纯静态文件，无恶意行为，仅通过 WebSocket 连接用户指定的 Gateway，install.sh 仅为文件复制操作。

Skill Namepaw-chat

Duration79.5s

Enginepi

✓

Safe to install

可直接使用。该技能功能单一明确，代码质量良好，无风险发现。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/install.sh:35-41 — 仅复制 assets/ 到 ~/.openclaw/control-ui-static/
Network	`READ`	`READ`	✓ Aligned	assets/paw-app.js:385-411 — WebSocket 连接用户指定的 Gateway URL，无隐蔽外传
Shell	`WRITE`	`WRITE`	✓ Aligned	scripts/install.sh:35-41 仅 cp 复制文件；assets/start.sh 仅 python3 -m http.server
Environment	`NONE`	`NONE`	—	无 os.environ / process.env 访问，无凭证收割
Skill Invoke	`NONE`	`NONE`	—	无动态技能调用代码
Clipboard	`NONE`	`NONE`	—	无 clipboard API 调用
Browser	`NONE`	`READ`	✓ Aligned	paw-app.js 为纯前端浏览器应用，仅 localStorage 存储配置，无隐藏行为
Database	`NONE`	`NONE`	—	无数据库访问代码

9 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/OpenClaw-Paw-blue?style=for-the-badge

README.md:4

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/License-MIT-green?style=flat-square

README.md:5

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/Zero-Dependencies-orange?style=flat-square

README.md:6

🔗

Medium External URL 外部 URL

https://openclaw.ai

README.md:147

🔗

Medium External URL 外部 URL

https://docs.openclaw.ai

README.md:148

🔗

Medium External URL 外部 URL

https://discord.com/invite/clawd

README.md:150

🔗

Medium External URL 外部 URL

https://www.python.org/downloads/

assets/paw-app.js:2323

🔗

Medium External URL 外部 URL

https://highlightjs.org/

assets/paw-app.js:2387

📧

Info Email 邮箱地址

[email protected]

assets/highlight.min.js:3

File Tree

10 files · 300.2 KB · 5050 lines

JavaScript 3f · 3856L HTML 1f · 791L Markdown 2f · 254L Shell 2f · 94L JSON 1f · 46L CSS 1f · 9L

├─ ▾ 📁 assets

│ ├─ 📄 github-dark.min.css CSS 9L · 1.3 KB

│ ├─ 📜 highlight.min.js JavaScript 1243L · 124.5 KB

│ ├─ 📄 index.html HTML 791L · 34.7 KB

│ ├─ 📜 marked.min.js JavaScript 69L · 39.0 KB

│ ├─ 📜 paw-app.js JavaScript 2544L · 90.5 KB

│ └─ 🔧 start.sh Shell 46L · 1.2 KB

├─ ▾ 📁 scripts

│ └─ 🔧 install.sh Shell 48L · 1.3 KB

├─ 📋 package.json JSON 46L · 940 B

├─ 📝 README.md Markdown 153L · 3.9 KB

└─ 📝 SKILL.md Markdown 101L · 2.8 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`highlight.js`	`11.x (minified)`	bundled	No	纯前端语法高亮库，MIT 许可证
`marked`	`15 (minified)`	bundled	No	纯前端 Markdown 解析器，MIT 许可证

Security Positives

✓ 代码结构清晰，无混淆、无 eval、无 base64 编码执行

✓ WebSocket 仅连接用户手动填写的 Gateway URL，无隐蔽外连

✓ install.sh 仅执行文件复制（cp 命令），不涉及远程下载或 shell 注入

✓ start.sh 使用 Python 内置 http.server 启动本地服务器，行为透明

✓ paw-app.js 包含完整 README 生成代码，无隐藏恶意逻辑

✓ 第三方依赖 highlight.js 和 marked.js 均为知名标准库，无供应链风险

✓ localStorage 仅存储用户配置（URL、token），无凭证外传

✓ SKILL.md 文档与代码行为高度一致，无阴影功能

Scan Report

File Tree

Dependencies 2 items

Security Positives