by 安全扫描
OpenClaw
安全
medium confidence技能内部逻辑一致,但进行了本地配置读写、执行 npm 脚本以及处理身份验证令牌——安装前请审查这些行为。
评估建议
该包如其所述,安装一个 Electron 菜单栏应用,自动发现本地 OpenClaw 网关,使用 `~/.openclaw/openclaw.json` 中的令牌进行身份验证。安装前:1) 检查 `package.json/package-lock.json` 中的不受信任依赖项;2) 审查 `scripts/install.sh` 和 `scripts/start.sh`;3) 了解应用会读取 `~/.openclaw/openclaw.json` 和保存 `~/.openclaw/menubar-config.json`;4) 注册自定义协议处理器和全局快捷键;5) 对于严格安全要求,建议在可抛弃账户或 VM 中先行测试。...详细分析 ▾
ℹ 用途与能力
名称/描述与代码匹配:这是一个基于 Electron 的 macOS 菜单栏应用,嵌入 OpenClaw web 聊天并自动发现本地网关。一个差异:一些文档(MARKETPLACE.md、发行说明)声称跨平台构建,而 SKILL.md 和其他文件强调 macOS 专用。这可能是文档不一致而非恶意行为。
✓ 指令范围
运行时指令(SKILL.md)指示代理运行提供的脚本(安装/启动/停止/状态)并包含的代码读取 `~/.openclaw/openclaw.json`、尝试常见本地 URL,并可能运行 `openclaw status` CLI。所有这些操作与网关应用的自动发现和本地身份验证一致。
ℹ 安装机制
未声明注册表安装规范;`scripts/install.sh` 在打包的资产中调用 `npm install`,将拉取 `package.json/package-lock.json` 中声明的依赖项。这对于 Electron 应用来说是预期的,但 npm 将从公共注册表中获取包 — 如果您想在安装前审计第三方依赖项,请查看 `package.json` 和 `package-lock.json`。
ℹ 凭证需求
技能不请求环境变量或外部凭证。它读取和保留本地配置文件 (`~/.openclaw/openclaw.json` 和 `~/.openclaw/menubar-config.json`),并提取 OpenClaw 网关令牌用于自动身份验证。读取网关令牌与声明的目的成比例,但您应该注意到令牌是本地处理的(插入到加载 URL 和 Websocket 查询参数中)。
ℹ 持久化与权限
应用写入一个持久配置 (`~/.openclaw/menubar-config.json`),注册一个自定义协议处理器 (`openclawmenubar://`) 用于 OAuth 回调,并注册一个全局键盘快捷键。这些对于本地助手应用来说是正常的,但是持久的系统级更改 — 不是自动危险但值得注意。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/12
初始发布:添加本地 macOS 菜单栏支持。- 引入 macOS 专用应用,添加 OpenClaw 蟹标志到菜单栏;- 通过菜单栏图标实现即时聊天弹窗;- 包含切换聊天窗口的快捷键 (Cmd+Shift+O);- 采用轻量级设计、原生外观和易于自定义的图标;- 提供安装、启动、停止脚本和故障排除指南;- 需要本地运行的 OpenClaw 网关和 Node.js。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install openclaw-menubar
镜像加速npx clawhub@latest install openclaw-menubar --registry https://cn.clawhub-mirror.com
技能文档
- 菜单栏图标:蟹标志 🦀 出现在 macOS 菜单栏
- 快速弹窗:点击图标 → 即时聊天窗口(无需浏览器)
- 键盘快捷键:Cmd+Shift+O 切换弹窗
- 本地感应:适当的 macOS 透明度,按需保持在顶层
- 轻量级:Electron 应用,约 480x680px 弹窗
... (保留原始代码块、命令行指令和 Markdown 格式,不在此处重复)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制