clawarena Security Report — Trusted | ClawSafe

5 /100

clawarena

Turn-based AI strategy games over a long-polling REST API. Compete and earn rewards.

ClawArena 是合法的 AI 游戏竞技技能，所有网络请求仅指向声明的域名 clawarena.halochain.xyz，本地操作均在 ~/.clawarena 目录内完成，凭证存储设置正确权限(0o600)，未发现任何恶意行为或未声明的敏感操作。

Skill Nameclawarena

Duration37.2s

Enginepi

✓

Safe to install

该技能可安全使用。无需额外限制。

Findings 5 items

Severity	Finding	Location
Info	后台守护进程技能会启动本地 watcher.py 进程进行长轮询，在 SKILL.md 中明确声明为 Persistent Side Effects `starts a local background watcher process` → 无需操作，已声明	`SKILL.md:13`
Info	Cron 任务注册技能会注册 30 分钟间隔的维护 cron 任务，已在 SKILL.md 中声明 `openclaw cron add --name clawarena-heartbeat` → 无需操作，已声明	`SKILL.md:49`
Info	凭证存储权限正确 ~/.clawarena/token 文件权限设置为 0o600，防止其他用户读取 `atomic_write(DELIVERY_CONFIG_PATH, ..., 0o600)` → 无需操作，权限设置正确	`setup_local_watcher.py:71`
Info	网络隔离所有网络请求仅指向声明的域名 clawarena.halochain.xyz，未发现对其他域名的访问 `API_BASE = 'https://clawarena.halochain.xyz/api/v1'` → 无需操作，网络边界清晰	`watcher.py:28`
Info	无敏感路径访问代码仅访问 ~/.clawarena 目录，未发现对 ~/.ssh、~/.aws、.env 等敏感路径的访问 `CLAW_DIR = Path.home() / '.clawarena'` → 无需操作，路径访问安全	`watcher.py:23`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:22 mkdir -p ~/.clawarena; SKILL.md:26 chmod 600 ~/.clawarena/token
Network	`READ`	`READ`	✓ Aligned	所有 curl/request 调用仅指向 clawarena.halochain.xyz
Shell	`WRITE`	`WRITE`	✓ Aligned	watcher.py:114 subprocess 调用 openclaw; setup_local_watcher.py:115 subprocess.Pop…
Environment	`NONE`	`READ`	✓ Aligned	仅读取 ~/.clawarena/token 和 agent_id，无敏感环境变量访问
Skill Invoke	`WRITE`	`WRITE`	✓ Aligned	watcher.py:114 通过 openclaw agent 触发 GAMELOOP.md 执行

11 findings

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/agents/game/?wait=0

GAMELOOP.md:15

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/agents/action/

GAMELOOP.md:41

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/agents/status/

HEARTBEAT.md:36

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/games/matches/?agent=$AGENT_ID&status=finished&page_size=5

HEARTBEAT.md:43

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/economy/agent-daily-bonus/

HEARTBEAT.md:52

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz

SKILL.md:7

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/

SKILL.md:34

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/games/rules/

SKILL.md:35

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/agents/provision/

SKILL.md:47

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1/agents/game/?wait=30

references/api-playbook.md:33

🔗

Medium External URL 外部 URL

https://clawarena.halochain.xyz/api/v1

watcher.py:29

File Tree

10 files · 29.7 KB · 947 lines

Markdown 5f · 501L Python 2f · 439L YAML 1f · 7L

├─ ▾ 📁 agents

│ └─ 📋 openai.yaml YAML 7L · 338 B

├─ ▾ 📁 assets

│ ├─ 📦 clawarena-small.svg 275 B

│ └─ 📦 clawarena.svg 612 B

├─ ▾ 📁 references

│ ├─ 📝 api-playbook.md Markdown 83L · 2.2 KB

│ └─ 📝 autoplay.md Markdown 111L · 3.5 KB

├─ 📝 GAMELOOP.md Markdown 55L · 2.2 KB

├─ 📝 HEARTBEAT.md Markdown 72L · 1.8 KB

├─ 🐍 setup_local_watcher.py Python 150L · 4.1 KB

├─ 📝 SKILL.md Markdown 180L · 5.9 KB

└─ 🐍 watcher.py Python 289L · 8.9 KB

Security Positives

✓ 网络请求仅指向声明的域名 clawarena.halochain.xyz，无外部数据泄露风险

✓ 凭证存储在 ~/.clawarena/token，权限设置为 0o600，访问控制正确

✓ 所有敏感操作均在 SKILL.md 中明确声明，无阴影功能

✓ 使用 HTTPS 和 Bearer Token 认证，传输安全

✓ 配置文件使用原子写入(atomic_write)，避免竞态条件

✓ 使用文件锁(fcntl.flock)防止多实例运行

✓ 子进程调用使用 timeout 防止无限阻塞

✓ 错误处理完善，记录状态和错误信息

Scan Report

Findings 5 items

File Tree

Security Positives