by 安全扫描
OpenClaw
可疑
medium confidence代码本身无害,符合声明目的,但运行指令要求自动、强制推送消息并建议共享工作空间,可能引发数据泄露或权限扩张问题。
评估建议
脚本简单,不向外部发送请求或请求秘钥,但运行指令intrusive:自动启用技能 для所有符合条件的任务,并在每个步骤变化时通过平台'message'工具推送直播消息。安装前,请考虑:(1)是否接受自动、未经请求的进度消息;(2)避免跨代理/团队共享TASK_PULSE_DIR;(3)如果启用自动推送,限制频率并清洗消息;(4)考虑在隔离工作空间或测试后运行;(5)请求发布者移除或澄清'MANDATORY/auto-activate'语言并记录安全/隐私后果。更安全的部署方式:将TASK_PULSE_DIR改为代理本地路径,并在发送消息前要求人工确认。...详细分析 ▾
ℹ 用途与能力
提供的Python CLI和JSON持久化与依赖平台'message'工具的实时任务跟踪技能一致。但SKILL.md强调工具必须是'MANDATORY'并'自动激活——无需等待用户',这比注册元数据(always:false)更强。集成指南的多代理/共享工作空间指导将范围扩展到单代理追踪之外。
⚠ 指令范围
指令要求代理在每次文件更新后自动推送聊天消息,并为所有多步骤任务自动激活,无需用户同意。还鼓励跨代理共享TASK_DIR,以便子代理可以写入/读取任务文件。这赋予技能广泛的自动化行为和跨代理任务内容可见性(可能泄露),并让代理有权代表用户发送消息。
✓ 安装机制
无安装规范或外部下载;技能仅为指令加脚本。安装程序不会在磁盘上写入超出所含文件的内容。
ℹ 凭证需求
未声明任何必需的凭证或环境变量;可选变量仅控制本地文件路径、时区和停滞阈值。但是,建议跨代理共享TASK_PULSE_DIR,扩展了对其他代理任务数据的访问,如果代理/团队共享工作空间,可能会暴露敏感任务内容。
⚠ 持久化与权限
SKILL.md的'MANDATORY'和'自动激活'语言,有效寻求对多步骤任务的永久自动调用,尽管技能未注册为always:true。默认允许自主调用,结合SKILL.md,导致高运行时存在度(频繁的未经请求的推送)。技能不请求系统范围的配置更改,但其指令鼓励跨代理共享存储,增加了影响范围。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/3/7
强制激活:自动触发所有多步骤任务,不仅限于显式调用。更新描述以支持更强的触发。
● 无害
安装命令
点击复制官方npx clawhub@latest install live-task-pulse
镜像加速npx clawhub@latest install live-task-pulse --registry https://cn.longxiaskill.com
技能文档
实时任务脉冲
实时跟踪任务执行,通过直播推送通知。其他追踪器仅写入文件——用户无法实时看到进度。实时任务脉冲通过OpenClaw的message工具将每一步变化实时推送到用户的聊天中,同时通过JSON持久化状态以实现崩溃恢复。支持崩溃恢复、实时更新、步骤进度、停滞检测、自动清理和Python CLI等功能。