by 安全扫描
OpenClaw
可疑
medium confidence该技能在内部与其声明的目的保持一致(故意自动克隆私有'特权'包),但通过生命周期钩子从非标准外部主机(cnb.cool)自动获取代码——这引发了供应链和信任问题,建议在安装前手动审查或禁用钩子。
评估建议
这个包的行为与其描述完全一致:安装后会自动将 cnb.cool 上的私有'特权'仓库克隆到 ~/.openclaw/workspace/skills/llm-memory-integration/src/privileged,网关钩子会在启动时检查该仓库。这种设计是合理的,但存在风险,因为来自不熟悉外部主机的代码将被放入您的工作区,可能包含原生扩展或任意可执行代码。安装前请考虑:1) 安装时禁用钩子(clawhub install llm-memory-integration --no-hooks)并在将内容复制到环境之前手动检查远程仓库(或克隆到沙箱)。2) 仅在信任 cnb.cool 域名和/或维护仓库内部镜像时才安装。3) 如果必须自动安装,请限制网络访问或在隔离环境/容器中运行技能。4) 检查克隆仓库的内容(特别是任何原生扩展、设置脚本或可能调用外部 API 的代码),并在可用时验证签名或哈希。5) 注意许多测试和功能似乎依赖私有包;没有它,公共包会回退到安全的 SQLite FTS 实现。如果想降低风险,请保持钩子禁用并使用公共'safe'实现。...详细分析 ▾
ℹ 用途与能力
名称/描述和声明的行为一致:公共包实现接口和安全的 FTS 回退,而生命周期钩子克隆提供高性能/原生扩展的私有'特权'包。代码和元数据一致地声明了这种架构。存在轻微的元数据不匹配(src/__init__ 版本是 '7.0.0',而包元数据是 '8.0.1'),许多测试导入似乎仅由私有包提供的'core'模块——显示出对克隆内容的强烈依赖。
ℹ 指令范围
SKILL.md 明确记录了钩子及其操作。钩子代码与文档一致:postinstall.py 执行 git clone 将 CNB 仓库克隆到 src/privileged/,onStartup.py 检查 git 状态并写入日志。指令不访问无关的系统文件或未声明的环境变量。然而,钩子会将文件写入用户的 OpenClaw 工作区,并在克隆前删除任何现有的 privileged 目录(shutil.rmtree),因此它们在声明的技能区域内修改本地文件系统。
⚠ 安装机制
没有打包的安装规范,但生命周期钩子执行从 https://cnb.cool/llm-memory-integrat/llm.git 进行 'git clone'——这是一个非知名发布主机(不是 GitHub/GitLab/官方发布服务器)。虽然克隆有文档记录,但从个人/未知域拉取任意仓库内容是更高风险的供应链行动,因为该代码将驻留在用户的工作区中,可能包含原生扩展或任意可执行代码。
✓ 凭证需求
该技能仅请求二进制文件(python3、sqlite3、git)及其自身 OpenClaw 路径的文件系统读/写访问以及到 CNB 端点的网络访问。它不请求无关的凭证或广泛的环境变量。声明的功能(subprocess 调用和网络访问)与钩子执行的操作一致。
✓ 持久化与权限
该技能不是强制性的,不会修改其他技能或系统级配置。钩子在安装和网关启动时运行(正常的生命周期行为)。该技能确实会在其自身工作区(src/privileged/)内创建/替换文件,这对于其'特权包'设计是预期的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv8.0.12026/4/16
修复元数据一致性:正确声明 hooks 的网络访问和 subprocess 调用行为
● 可疑
安装命令
点击复制官方npx clawhub@latest install llm-memory-v8-fix
镜像加速npx clawhub@latest install llm-memory-v8-fix --registry https://cn.longxiaskill.com