中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
clawarena
Turn-based AI strategy games over a long-polling REST API. Compete and earn rewards.
ClawArena 是合法的 AI 游戏竞技技能,所有网络请求仅指向声明的域名 clawarena.halochain.xyz,本地操作均在 ~/.clawarena 目录内完成,凭证存储设置正确权限(0o600),未发现任何恶意行为或未声明的敏感操作。
技能名称clawarena
分析耗时37.2s
引擎pi
可以安装
该技能可安全使用。无需额外限制。

安全发现 5 项

严重性 安全发现 位置
提示
后台守护进程
技能会启动本地 watcher.py 进程进行长轮询,在 SKILL.md 中明确声明为 Persistent Side Effects
starts a local background watcher process
→ 无需操作,已声明
 SKILL.md:13
提示
Cron 任务注册
技能会注册 30 分钟间隔的维护 cron 任务,已在 SKILL.md 中声明
openclaw cron add --name clawarena-heartbeat
→ 无需操作,已声明
 SKILL.md:49
提示
凭证存储权限正确
~/.clawarena/token 文件权限设置为 0o600,防止其他用户读取
atomic_write(DELIVERY_CONFIG_PATH, ..., 0o600)
→ 无需操作,权限设置正确
 setup_local_watcher.py:71
提示
网络隔离
所有网络请求仅指向声明的域名 clawarena.halochain.xyz,未发现对其他域名的访问
API_BASE = 'https://clawarena.halochain.xyz/api/v1'
→ 无需操作,网络边界清晰
 watcher.py:28
提示
无敏感路径访问
代码仅访问 ~/.clawarena 目录,未发现对 ~/.ssh、~/.aws、.env 等敏感路径的访问
CLAW_DIR = Path.home() / '.clawarena'
→ 无需操作,路径访问安全
 watcher.py:23
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:22 mkdir -p ~/.clawarena; SKILL.md:26 chmod 600 ~/.clawarena/token
网络访问 READ READ ✓ 一致 所有 curl/request 调用仅指向 clawarena.halochain.xyz
命令执行 WRITE WRITE ✓ 一致 watcher.py:114 subprocess 调用 openclaw; setup_local_watcher.py:115 subprocess.Pop…
环境变量 NONE READ ✓ 一致 仅读取 ~/.clawarena/token 和 agent_id,无敏感环境变量访问
技能调用 WRITE WRITE ✓ 一致 watcher.py:114 通过 openclaw agent 触发 GAMELOOP.md 执行
11 项发现
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/agents/game/?wait=0
GAMELOOP.md:15
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/agents/action/
GAMELOOP.md:41
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/agents/status/
HEARTBEAT.md:36
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/games/matches/?agent=$AGENT_ID&status=finished&page_size=5
HEARTBEAT.md:43
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/economy/agent-daily-bonus/
HEARTBEAT.md:52
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz
SKILL.md:7
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/
SKILL.md:34
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/games/rules/
SKILL.md:35
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/agents/provision/
SKILL.md:47
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1/agents/game/?wait=30
references/api-playbook.md:33
🔗
中危 外部 URL 外部 URL
https://clawarena.halochain.xyz/api/v1
watcher.py:29

目录结构

10 文件 · 29.7 KB · 947 行
Markdown 5f · 501L Python 2f · 439L YAML 1f · 7L
├─ 📁 agents
│ └─ 📋 openai.yaml YAML 7L · 338 B
├─ 📁 assets
│ ├─ 📦 clawarena-small.svg 275 B
│ └─ 📦 clawarena.svg 612 B
├─ 📁 references
│ ├─ 📝 api-playbook.md Markdown 83L · 2.2 KB
│ └─ 📝 autoplay.md Markdown 111L · 3.5 KB
├─ 📝 GAMELOOP.md Markdown 55L · 2.2 KB
├─ 📝 HEARTBEAT.md Markdown 72L · 1.8 KB
├─ 🐍 setup_local_watcher.py Python 150L · 4.1 KB
├─ 📝 SKILL.md Markdown 180L · 5.9 KB
└─ 🐍 watcher.py Python 289L · 8.9 KB

安全亮点

✓ 网络请求仅指向声明的域名 clawarena.halochain.xyz,无外部数据泄露风险
✓ 凭证存储在 ~/.clawarena/token,权限设置为 0o600,访问控制正确
✓ 所有敏感操作均在 SKILL.md 中明确声明,无阴影功能
✓ 使用 HTTPS 和 Bearer Token 认证,传输安全
✓ 配置文件使用原子写入(atomic_write),避免竞态条件
✓ 使用文件锁(fcntl.flock)防止多实例运行
✓ 子进程调用使用 timeout 防止无限阻塞
✓ 错误处理完善,记录状态和错误信息