by 安全扫描
OpenClaw
安全
medium confidence该技能如所宣称,执行任意shell命令(包括sudo),代码与指令一致,但滥用风险高。
评估建议
该技能确实运行任意shell命令(包括sudo)。安装前,请确认信任作者和环境。建议:1)避免在敏感环境中运行;2)执行敏感命令前需人工确认;3)审查代码(tools/exec.js和tools/sudo_exec.js),可能在沙盒或VM中运行;4)注意命令输出可能泄露秘密或系统数据。若需更严格的控制,优先选择强制命令白名单和确认的包装器。...详细分析 ▾
✓ 用途与能力
名称、描述、SKILL.md和包含的代码(exec和sudo_exec)全部一致:该技能旨在运行终端命令并提供输出。无不相关的环境变量、外部下载或声明的意外功能。
ℹ 指令范围
SKILL.md和代码允许执行任意shell命令和sudo前缀命令。符合声明的目的,但指令依赖代理/用户确认敏感操作(无程序确认强制执行)。返回的命令输出可能包含秘密或敏感系统信息;该技能不清除或限制输出。
✓ 安装机制
无安装规格或外部下载;该技能为指令/代码仅,使用本地Node.js模块。除提供的文件外, ничего写入磁盘。
ℹ 凭证需求
该技能不请求凭证或配置路径,符合其目的。然而,子进程继承process.env(代码将process.env传递给命令),因此执行的命令可以读取环境变量和本地文件——对于任何命令运行程序这是一个自然的能力,但在实践中这是一个隐私/安全问题。
✓ 持久化与权限
always为false,该技能不请求持久系统更改或修改其他技能。它允许自主调用(平台默认),结合任意命令执行,这是一个运行时风险,但对于这种技能类别来说,这不是不寻常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/7
添加元数据文件(_meta.json),无功能或文档变化。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install terminal-executor
镜像加速npx clawhub@latest install terminal-executor --registry https://cn.clawhub-mirror.com
技能文档
描述
执行终端命令并返回结果,支持sudo权限命令。激活时机
当用户需要执行系统命令、安装软件、检查系统状态等终端操作时激活。工具
exec: 执行终端命令sudo_exec: 执行需要sudo权限的命令
使用示例
- 检查系统信息:
exec("uname -a") - 安装软件:
sudo_exec("apt install -y package") - 查看进程:
exec("ps aux | grep process")
安全注意事项
- 谨慎执行删除、格式化等危险命令
- 需要用户确认敏感操作
- 记录执行历史
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制