by 安全扫描
OpenClaw
安全
high confidence该技能的代码、脚本和运行指令与其声明的目的(共享/消费 Ollama 推理)一致,不请求无关的凭据也不执行意外的本地操作。
评估建议
此技能将使您的本地 Ollama 模型可供外部路由服务器(默认为 https://api.idleclaw.com)访问,并在消费时将聊天提示转发到社区节点。虽然它不请求密码、API 密钥、执行 shell 命令或读取任意文件,但它会将提示文本和模型输出传输到外部服务(潜在数据泄露)。安装前,请(1)审查和信任路由服务器(可设置为自托管端点)、(2)检查安装脚本和 pip 要求、(3)在隔离环境中运行贡献者脚本(如果担心暴露提示内容)、(4)如果需要更强的保证,请自行托管路由服务器并重新审计服务器和客户端代码。仓库/包装不一致(注册表声称没有安装规格,但存在安装脚本和要求)是一个小红旗——确认安装步骤后再继续。...详细分析 ▾
✓ 用途与能力
名称/描述与所需二进制文件(python3、ollama)和包含的脚本匹配:contribute.py 注册本地 Ollama 模型并中继推理,consume.py 将提示发送到路由服务器,status.py 查询服务器健康状况。没有无关的凭据、二进制文件或配置路径被请求。
✓ 指令范围
SKILL.md 准确描述了网络交互。代码实现了所描述的行为:WebSocket 注册、将 JSON 推理参数转发到本地 Ollama、流式返回 JSON 响应以及客户端验证和限制。脚本不生成 shell、不读取任意文件、也不访问超出可选环境变量(IDLECLAW_SERVER、OLLAMA_HOST)的秘密。
ℹ 安装机制
仓库包含 install.sh,它运行 pip install -r requirements.txt(包:ollama、websockets、python-dotenv、httpx)。这是一个典型的 Python 安装流程,不下载任意工件,但注册表元数据指示“没有安装规格”,而文件包含安装程序——这种包装不一致值得注意。安装 Python 包将写入磁盘并将依赖项添加到您的环境中。
✓ 凭证需求
没有声明必需的秘密环境变量。代码使用的可选环境变量是 IDLECLAW_SERVER 和 OLLAMA_HOST(均为非秘密配置)。该技能不请求无关的云凭据或令牌。
✓ 持久化与权限
该技能不是始终启用、可由用户调用、不修改其他技能或系统范围的代理设置。它不将用户数据持久化到磁盘。它打开到路由服务器的网络连接,如其功能所期望。
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSmacOS · Linux
版本
latestv1.2.12026/3/5
修复文档准确性:删除纯文本声明,准确记录 JSON 通信和工具中继流程。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install idleclaw
镜像加速npx clawhub@latest install idleclaw --registry https://cn.clawhub-mirror.com
技能文档
一个连接贡献者(共享 GPU/CPU 资源)和消费者(使用社区资源进行推理)的分布式推理网络。
模式
贡献 — 共享闲置推理能力
启动您的机器作为推理节点。您的本地 Ollama 模型将可供社区使用。cd "$SKILL_DIR" && python scripts/contribute.py
消费 — 使用社区推理
将聊天请求发送到社区网络,而不是本地运行。cd "$SKILL_DIR" && python scripts/consume.py --model --prompt ""
状态 — 检查网络健康状况
查看有多少节点在线以及可用的模型。cd "$SKILL_DIR" && python scripts/status.py
配置
| 变量 | 默认值 | 描述 |
|---|---|---|
IDLECLAW_SERVER | https://api.idleclaw.com | 路由服务器 URL |
OLLAMA_HOST | http://localhost:11434 | 本地 Ollama 端点 |
安全性
外部端点
此技能联系以下外部端点:- IdleClaw 路由服务器(
IDLECLAW_SERVER,默认https://api.idleclaw.com)
/api/chat,包含模型名称和聊天消息。接收:通过 SSE 流式响应。
- 状态模式:发送 HTTP GET 到 /health 和 /api/models。接收:服务器健康信息和可用模型列表。
- 本地 Ollama(
OLLAMA_HOST,默认http://localhost:11434)
数据处理
- 无用户数据被持久化,无论是本地还是服务器端,超出活动会话。
- 无凭据或 API 密钥 被要求或存储。
- 所有通信都是文本 — 每个消息之间的服务器、节点和 Ollama 都是通过 WebSocket 或 HTTP 的 JSON 文本。
- 无本地代码执行 — 贡献者节点是一个中继。它将 JSON 推理参数转发到 Ollama 并流式返回 JSON 响应到服务器。节点不执行工具、不运行 shell 命令、也不访问文件系统。任何工具执行都是在服务器端处理响应验证后。
- 聊天消息(文本字符串)从消费者传输到服务器再到贡献者节点进行推理,然后被丢弃。
- 无遥测或分析 被收集。
在贡献模式下,路由服务器发送 JSON 推理请求到节点,节点转发到您的本地 Ollama 实例。Ollama 返回 JSON 文本响应,节点中继回服务器。贡献者可以将 IDLECLAW_SERVER 指向自托管实例。
在消费模式下,文本提示被发送到路由服务器,路由服务器将其路由到可用的贡献者节点。
清洗
客户端:- 在传递到 Ollama 之前验证推理参数:仅转发白名单键(
model、messages、stream、think、keep_alive、options、tools、format)。未知键被剥离。 - 请求的模型必须与节点注册的模型匹配 — 请求未注册模型被拒绝。
- 强制执行消息限制:每个请求最多 50 消息,消息内容最多 10,000 个字符。
- 仅转发已知响应字段回服务器(
role、content、thinking、tool_calls)。 - 在消费模式下,模型名称通过严格模式验证(仅允许字母数字、冒号、句点、连字符)。在贡献模式下,请求的模型必须与节点从 Ollama 注册的模型匹配。
- 服务器 URL 在使用前被验证为 HTTP/HTTPS URL。
- 无 shell 命令从用户输入构造 — 所有执行仅限 Python。
- 无本地文件被读取或访问 — 该技能仅与 Ollama 和路由服务器通信。
服务器端(路由服务器):
- 基于 IP 的速率限制应用于所有端点:聊天(20 每分钟)、节点注册(5 每分钟)、一般(60 每分钟)。
- 输入验证:每个请求最多 50 消息、10,000 个字符每条消息、64 个字符模型名称、角色限制为
user和assistant。 - 输出清洗:响应内容在交付给消费者之前被剥离标记标签。
- 节点注册限制:每 IP 最多 3 个节点、并发请求限制在 1-10 之间。
- 工具执行防护:架构验证、参数类型检查、15 秒超时、每节点每分钟 20 次调用限制。
- 服务器绑定到 localhost,只通过 Caddy 反向代理访问,自动 TLS。
- 已进行红队测试,记录了发现和缓解措施(安全评估在 GitHub)。
安装
运行安装脚本设置 Python 依赖项:cd "$SKILL_DIR" && bash install.sh
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制