Elegant Sync — 优雅安全的 OpenClaw 配置同步工具
v1.0.4Elegant Sync 是一个优雅安全的 OpenClaw 配置同步工具,支持选择性备份、.gitignore 规则、版本控制,确保配置文件和敏感信息的安全。
0· 428·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能基本如宣称般工作(备份 OpenClaw 工作空间到 git 仓库),但存在不一致和风险行为(未声明的必需凭证、不完美的忽略逻辑、URL 中的令牌和强制推送),可能意外暴露秘密或覆盖远程数据。
评估建议
该技能实现了宣称的备份到 git 功能,但在安装前应考虑几个实践风险:1) 期望在 ~/.openclaw/.backup.env 中保存 BACKUP_REPO 和 BACKUP_TOKEN,但注册元数据未声明这些;2) 代码将令牌嵌入 HTTPS 推送 URL 中,可能通过进程列表、git 远程或日志泄露;3) README 和 SKILL.md 声称不上传敏感文件,但默认忽略列表不包括这些文件;4) 工具使用强制推送(--force),可能覆盖远程分支;5) 如果继续,创建专用私有仓库和狭窄范围的令牌,审查源码,添加明确的忽略条目,先运行 --dry-run。...详细分析 ▾
ℹ 用途与能力
名称/描述与实现匹配:代码复制 ~/.openclaw/workspace 并推送到远程 git 仓库的实例分支/标签。但注册元数据未声明必需的环境变量或凭证,而 SKILL.md 和 index.js 期望在 ~/.openclaw/.backup.env 中存储 BACKUP_REPO 和 BACKUP_TOKEN — 这是一个应声明的不一致。
⚠ 指令范围
SKILL.md 和 index.js 读取 ~/.openclaw 下的文件(工作空间和 .backup.env 配置文件)。工具构造一个包含 BACKUP_TOKEN 的仓库 URL,并运行 git init/commit/push(包括 --force)。尽管文档说不会上传 .env/openclaw.json/credentials/,但代码的默认 ignorePatterns 不包括这些文件 — 如果用户的 .gitignore 不包含这些,敏感文件可能会被复制和推送。工具还强制推送分支,这可能会覆盖远程历史。
✓ 安装机制
无安装脚本或外部下载;这是一个仅包含指令的技能,附带 index.js。安装期间不获取任意远程代码。
⚠ 凭证需求
请求 BACKUP_REPO 和 BACKUP_TOKEN 与备份到 git 主机成比例。但这些凭证未在注册元数据中声明。实现将 BACKUP_TOKEN 嵌入用于 git 推送的 HTTPS URL 中,可以通过进程列表、shell 历史或远程 URL 存储泄露令牌。代码仅尝试在错误消息中屏蔽令牌,而不是在其他暴露中。
✓ 持久化与权限
该技能不请求 always:true,不修改其他技能,只在被调用时运行。它在 ~/.openclaw 和本地备份目录下写入临时存储,这对于备份工具是预期的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.42026/2/28
内部在 index.js 中的变化;无用户面向更新。- 本版本无 SKILL.md 文档更新。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install elegant-sync
镜像加速npx clawhub@latest install elegant-sync --registry https://cn.clawhub-mirror.com
技能文档
功能
- 🏷️ 版本化备份 - 每次同步创建 git 标签,可回滚任意版本
- 🔒 安全优先 - 不上传配置文件、密钥、敏感信息
- 📂 .gitignore 支持 - 使用项目 .gitignore 规则选择
- 🎯 选择性同步 - 可选择备份哪些目录
- 💾 灾难恢复 - 自动本地备份,支持一键恢复
- 🌿 多实例独立分支 - 每个设备一个分支,互不干扰
...(中间内容保持原样,仅示例开始)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制