by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了本地同步服务器,基本符合描述,但注册元数据未列出必需的运行时和凭据,存在小的不匹配,建议使用前澄清。
评估建议
该技能似乎实现了 Obsidian <-> Clawdbot 同步服务器,但存在实践中的不匹配和隐私风险,建议安装前考虑:元数据与现实不符、令牌敏感性、工作空间范围、暴露、验证源。推荐步骤:验证 Node 安装、设置低权限令牌、更改工作空间、局部运行和测试、请求更新元数据。...详细分析 ▾
ℹ 用途与能力
脚本实现了本地 HTTP 同步服务器用于 Obsidian/Clawdbot 双向同步,但注册元数据未列出必需的环境变量或二进制文件,而 SKILL.md 和脚本需要 SYNC_TOKEN(或 CLAWDBOT_TOKEN)和 Node 运行,存在声明的目的/要求与实际需求的不一致。
⚠ 指令范围
SKILL.md 指示运行包含的 Node 脚本,配置 SYNC_TOKEN、工作空间和允许的子目录,并显示 systemd 服务示例。这些指令专注于同步目的,但也(a)推荐通过 Tailscale 暴露服务器和(b)包括启动持久用户服务。文档未记录代码中的替代 CLAWDBOT_TOKEN 环境变量。代理指令和代码可以在令牌被破坏时暴露配置的工作空间中的本地文件——这是预期的功能,但值得强调。
ℹ 安装机制
没有安装规范(仅指令),风险较低。然而,脚本在运行时需要 Node.js;注册元数据未声明 Node 为必需的二进制文件。该不匹配应在元数据中更正,以便用户知道在运行之前必须安装 Node。
⚠ 凭证需求
SKILL.md 和脚本需要身份验证令牌(需要 SYNC_TOKEN)并接受替代 CLAWDBOT_TOKEN 环境变量。注册元数据未列出必需的环境变量,因此敏感凭据要求未记录。为认证的同步服务器请求网关/身份验证令牌是合理的,但未记录的 CLAWDBOT_TOKEN 别名和注册中的省略是不一致的,意味着用户可能会意外暴露特权令牌。另外,默认工作空间(/data/clawdbot)可以包含敏感数据——在使用前确保令牌范围和工作空间正确。
ℹ 持久化与权限
该技能未标记为 always:true 且为用户可调用,这是合适的。SKILL.md 包括运行它作为持久的 systemd 用户服务的指令;如果作为长时间运行的服务安装,它将对配置的工作空间中的文件有持续访问。默认允许自主模型调用(disable-model-invocation=false)——这是技能的正常行为,但与长时间运行的服务和凭据使用结合在一起,如果令牌或服务配置错误,它会增加潜在的暴露。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/2
初始发布:Clawdbot 和 Obsidian 之间的双向文件同步
● 无害
安装命令 点击复制
官方npx clawhub@latest install obsidian-sync
镜像加速npx clawhub@latest install obsidian-sync --registry https://cn.clawhub-mirror.com
技能文档
一个安全的文件同步服务器,用于 Clawdbot 和 Obsidian 之间的双向同步。
📦 本技能是 obsidian-openclaw 的一部分
一个 Obsidian 插件,允许您与 Clawdbot 代理聊天并在您的保险库和代理的工作空间之间同步笔记。
快速开始
SYNC_TOKEN="your-gateway-token" node scripts/sync-server.mjs
配置
| 环境变量 | 默认值 | 描述 |
|---|---|---|
SYNC_PORT | 18790 | 服务器端口 |
SYNC_BIND | localhost | 绑定地址 |
SYNC_WORKSPACE | /data/clawdbot | 根工作空间路径 |
SYNC_TOKEN | (必需) | 身份验证令牌 (使用网关令牌) |
SYNC_ALLOWED_PATHS | notes,memory | 允许的子目录(逗号分隔) |
- 只允许配置的子目录可访问
- 阻止路径遍历(
../) - 所有请求需要
Authorization: Bearer - 绑定到 localhost;通过 Tailscale 服务暴露以实现远程访问
API 端点
| 方法 | 端点 | 描述 |
|---|---|---|
| GET | /sync/status | 健康检查 |
| GET | /sync/list?path=notes | 列出 Markdown 文件 |
| GET | /sync/read?path=notes/x.md | 读取文件 + 元数据 |
| POST | /sync/write?path=notes/x.md | 写入文件(冲突检测) |
tailscale serve --bg --https=18790 http://localhost:18790
作为服务运行
用户 systemd 服务
mkdir -p ~/.config/systemd/user
cat > ~/.config/systemd/user/openclaw-sync.service << 'EOF'
[Unit]
Description=OpenClaw Sync 服务器
After=network.target
[Service]
Type=simple
Environment=SYNC_TOKEN=your-token-here
Environment=SYNC_WORKSPACE=/data/clawdbot
Environment=SYNC_ALLOWED_PATHS=notes,memory
ExecStart=/usr/bin/node /path/to/skills/obsidian-sync/scripts/sync-server.mjs
Restart=on-failure
RestartSec=5
[Install]
WantedBy=default.target
EOF
systemctl --user daemon-reload
systemctl --user enable --now openclaw-sync
loginctl enable-linger $USER
# 启动时自动运行
Obsidian 插件
该技能提供 OpenClaw Obsidian 插件 的后端:github.com/AndyBold/obsidian-openclaw 插件提供:- 💬 聊天侧边栏 — 从 Obsidian 与 Clawdbot 代理聊天
- 📁 文件操作 — 通过对话创建、编辑、删除笔记
- 🔄 双向同步 — 保持保险库和代理工作空间中的笔记同步
- 🔒 安全存储 — 使用 OS 密钥链集成令牌
- 📋 审计日志 — 跟踪所有文件操作
AndyBold/obsidian-openclaw数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制