by 安全扫描
OpenClaw
可疑
high confidence该技能的用途(提交GitHub issue)与代码功能一致,但在SKILL.md和脚本中硬编码了GitHub token,且未声明或要求更安全的凭证机制——这种做法过度且存在风险。
评估建议
请勿按原样安装或使用此技能。该包包含一个明文GitHub token,该token可能是有效的,可允许访问openclaw/openclaw仓库的API权限。要求作者移除嵌入的token,并将代码改为接受运行时提供的GITHUB_TOKEN(或其它密钥);如果您已暴露此token(例如粘贴到其他地方),请立即在GitHub中轮换/撤销该token,并检查token的 scopes。在启用任何后续自动化之前,还需确认您需要自动化的基于cron的"bump"行为,以避免意外的垃圾信息。...详细分析 ▾
⚠ 用途与能力
声明的用途(为openclaw/openclaw仓库创建/搜索/更新GitHub issue)与脚本和说明一致。然而,该技能没有要求运行时凭证(例如GITHUB_TOKEN)或说明如何提供凭证,而是在SKILL.md和脚本中直接嵌入明文token。嵌入凭证对于实现声明的用途并非必要,且是不适当的设计选择。
⚠ 指令范围
SKILL.md指示agent/用户调用GitHub API并创建cron提醒;这些操作在声明的范围内。但说明中反复包含字面的Authorization token值和使用它的示例curl命令,导致agent使用那个嵌入的密钥。cron后续行为(自动bump提醒)如果被滥用可能导致自动化的issue垃圾信息,应该要求明确的用户同意/配置。
✓ 安装机制
没有安装规范(仅说明加上一个小Python脚本)。安装期间没有从远程URL下载任何内容或写入任何内容。这降低了供应链风险。
⚠ 凭证需求
该技能没有声明所需的环境变量,但在SKILL.md和脚本中包含硬编码的token(ghp_...)。适当、适度的行为应该是要求单个GITHUB_TOKEN环境变量(或说明如何使用个人访问token),而不是附带凭证。嵌入的token授予仓库范围的API访问权限,对于分发的代码/文档来说明显过度。
ℹ 持久化与权限
always:false和自主调用是默认设置且可接受。文档中唯一的持久性相关操作是创建cron提醒以进行后续跟进;这本身并非恶意,但会创建持续的自动化活动,应该是可选的且受限。该技能不请求系统级配置更改或修改其他技能。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/14
简化:移除了public/层,技能现在位于.openclaw/skills/github-bug-report/
● 可疑
安装命令
点击复制官方npx clawhub@latest install github-bug-report
镜像加速npx clawhub@latest install github-bug-report --registry https://cn.longxiaskill.com
技能文档
SKILL.md 内容翻译
(注意:用户未提供完整的SKILL.md文件内容,以下为基于技能描述的翻译)
manifest: name: github-bug-report description: Submit bug reports to GitHub for OpenClaw issues version: 1.0.0
# GitHub Bug Report Skill
概述
此技能用于向OpenClaw项目的GitHub仓库提交bug报告。使用场景
- 发现明确的bug并想提交给官方
- 官方产品出现问题需要报障
- 查询现有issue状态
- 跟进已提交issue的进展
功能
- 创建新的GitHub issue
- 搜索现有issue
- 更新已提交的issue
- 创建cron提醒以便后续跟进