paw-chat 安全扫描报告 — 可信 | ClawSafe

5 /100

paw-chat

OpenClaw Gateway Web 聊天前端，纯静态文件通过 WebSocket 连接 Gateway

Paw 是 OpenClaw Gateway 的合法 Web 聊天前端，纯静态文件，无恶意行为，仅通过 WebSocket 连接用户指定的 Gateway，install.sh 仅为文件复制操作。

技能名称paw-chat

分析耗时79.5s

引擎pi

✓

可以安装

可直接使用。该技能功能单一明确，代码质量良好，无风险发现。

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/install.sh:35-41 — 仅复制 assets/ 到 ~/.openclaw/control-ui-static/
网络访问	`READ`	`READ`	✓ 一致	assets/paw-app.js:385-411 — WebSocket 连接用户指定的 Gateway URL，无隐蔽外传
命令执行	`WRITE`	`WRITE`	✓ 一致	scripts/install.sh:35-41 仅 cp 复制文件；assets/start.sh 仅 python3 -m http.server
环境变量	`NONE`	`NONE`	—	无 os.environ / process.env 访问，无凭证收割
技能调用	`NONE`	`NONE`	—	无动态技能调用代码
剪贴板	`NONE`	`NONE`	—	无 clipboard API 调用
浏览器	`NONE`	`READ`	✓ 一致	paw-app.js 为纯前端浏览器应用，仅 localStorage 存储配置，无隐藏行为
数据库	`NONE`	`NONE`	—	无数据库访问代码

9 项发现

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/OpenClaw-Paw-blue?style=for-the-badge

README.md:4

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-green?style=flat-square

README.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/Zero-Dependencies-orange?style=flat-square

README.md:6

🔗

中危外部 URL 外部 URL

https://openclaw.ai

README.md:147

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai

README.md:148

🔗

中危外部 URL 外部 URL

https://discord.com/invite/clawd

README.md:150

🔗

中危外部 URL 外部 URL

https://www.python.org/downloads/

assets/paw-app.js:2323

🔗

中危外部 URL 外部 URL

https://highlightjs.org/

assets/paw-app.js:2387

📧

提示邮箱邮箱地址

[email protected]

assets/highlight.min.js:3

目录结构

10 文件 · 300.2 KB · 5050 行

JavaScript 3f · 3856L HTML 1f · 791L Markdown 2f · 254L Shell 2f · 94L JSON 1f · 46L CSS 1f · 9L

├─ ▾ 📁 assets

│ ├─ 📄 github-dark.min.css CSS 9L · 1.3 KB

│ ├─ 📜 highlight.min.js JavaScript 1243L · 124.5 KB

│ ├─ 📄 index.html HTML 791L · 34.7 KB

│ ├─ 📜 marked.min.js JavaScript 69L · 39.0 KB

│ ├─ 📜 paw-app.js JavaScript 2544L · 90.5 KB

│ └─ 🔧 start.sh Shell 46L · 1.2 KB

├─ ▾ 📁 scripts

│ └─ 🔧 install.sh Shell 48L · 1.3 KB

├─ 📋 package.json JSON 46L · 940 B

├─ 📝 README.md Markdown 153L · 3.9 KB

└─ 📝 SKILL.md Markdown 101L · 2.8 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`highlight.js`	`11.x (minified)`	bundled	否	纯前端语法高亮库，MIT 许可证
`marked`	`15 (minified)`	bundled	否	纯前端 Markdown 解析器，MIT 许可证

安全亮点

✓ 代码结构清晰，无混淆、无 eval、无 base64 编码执行

✓ WebSocket 仅连接用户手动填写的 Gateway URL，无隐蔽外连

✓ install.sh 仅执行文件复制（cp 命令），不涉及远程下载或 shell 注入

✓ start.sh 使用 Python 内置 http.server 启动本地服务器，行为透明

✓ paw-app.js 包含完整 README 生成代码，无隐藏恶意逻辑

✓ 第三方依赖 highlight.js 和 marked.js 均为知名标准库，无供应链风险

✓ localStorage 仅存储用户配置（URL、token），无凭证外传

✓ SKILL.md 文档与代码行为高度一致，无阴影功能