MemClawz Connect — 共享内存连接器
v1.1.0将任何 AI agent 连接到 MemClawz 共享内存总线。通过简单的 HTTP API 为 agent 提供「先读后做」和「完成后写」的模式。适用于需要 fleet memory、共享内存、跨 agent 内存或跨会话长期记忆的场景。触发词:connect to memory、fleet memory、shared memory、memclawz、remember this across sessions、search memory。
0· 137·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidenceSKILL.md 与共享内存连接器一致,但缺少必需的环境变量声明,来源不明,并指示 agent 向任意/远程 MemClawz URL 发送任意数据(包括公网 IP 示例)—— 这种组合引发了数据泄露和溯源问题。
评估建议
这个技能可能实现了其声称的功能,但存在缺失的声明和溯源问题,您应该在安装前解决。具体包括:(1) 验证您信任并控制 MEMCLAWZ_URL 指向的 MemClawz 服务器 —— 不要将其设置为未知的公网 IP。(2) 将 MEMCLAWZ_URL、AGENT_ID 和 API_KEY 视为必需配置,仅在了解数据存储位置时才提供。(3) 向发布者询问主页、源代码和明确的安全模型(认证、数据保留、加密)。(4) 如果计划将此用于可能处理 secrets 或 PII 的 agent,请限制为您控制的 agent,或修改 AGENTS.md 流程以在写入前清理或排除敏感内容。(5) 优先使用 MEMCLAWZ_URL 为 localhost 或内部访问控制主机的部署,并在服务器端要求 API 密钥。如果供应商无法解释缺失的元数据和未知来源,请避免为处理敏感数据的 agent 启用它。...详细分析 ▾
⚠ 用途与能力
技能声明的目的(将 agent 连接到 MemClawz HTTP 内存总线)与指令(基于 curl 的读/写/搜索)一致,但元数据未列出所需的环境变量,而运行时指令明确需要 MEMCLAWZ_URL 和 MEMCLAWZ_AGENT_ID(以及可选的 MEMCLAWZ_API_KEY)。这些预期要求的缺失以及缺乏主页/来源(来源:未知)是不一致的,并降低了信任度。
⚠ 指令范围
SKILL.md 指示 agent 对任何设置的 MEMCLAWZ_URL(localhost 或任何远程主机)运行 curl,并在任务后写入任意内容。这种行为对于内存连接器是预期的,但也允许将 agent 上下文和结果发送到操作员配置的任何远程端点(文档甚至显示了公网 IP 示例)。指令不限制包含什么数据,默认不要求认证,也不警告敏感数据 —— 增加了意外或恶意泄露的风险。
✓ 安装机制
没有安装规范和代码文件(仅指令)。这最小化了本地攻击面,因为技能本身不下载或写入任何东西。
⚠ 凭证需求
声明的要求列表没有环境变量或凭据,但运行时文档需要 MEMCLAWZ_URL 和 MEMCLAWZ_AGENT_ID,并在启用认证时提到 MEMCLAWZ_API_KEY。这种不匹配是有问题的:必需的密钥/变量未在元数据中声明,而一个可以向任意 URL 发送数据的技能应该明确声明并证明其需要的任何凭据。
ℹ 持久化与权限
技能不是始终启用,使用默认的模型调用策略(agent 可以自主调用)。自主调用加上向远程 MemClawz 服务器发送任意数据的能力增加了爆炸半径(如果服务器不受信任)—— 但自主调用本身是预期的,不是单独的红旗。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/3/17
重写 — 干净的 SKILL.md,包含完整 API 参考、内存类型、远程 agent 支持、AGENTS.md 集成代码片段
● 可疑
安装命令
点击复制官方npx clawhub@latest install memclawz-connect
镜像加速npx clawhub@latest install memclawz-connect --registry https://cn.longxiaskill.com 镜像可用
技能文档
One skill. Any agent. Shared memory.
Setup
export MEMCLAWZ_URL="http://localhost:3500" # or remote: http://YOUR_SERVER:3500
export MEMCLAWZ_AGENT_ID="my-agent" # unique per agent
No API key required for default installs. If auth is enabled, also set MEMCLAWZ_API_KEY.
Health Check
curl -s "$MEMCLAWZ_URL/health" # {"status":"ok","version":"...","qdrant":"connected"}
Agent Protocol
Before ANY Task — Search First
curl -s "$MEMCLAWZ_URL/api/v1/search?q=TOPIC&limit=5"
Response:
{"results": [{"content": "...", "agent_id": "quant-dev", "memory_type": "decision", "score": 0.92}]}
Use results as context before starting work. Avoids re-discovering what's already known.
After Completing Work — Write Back
curl -s -X POST "$MEMCLAWZ_URL/api/v1/add" \
-H "Content-Type: application/json" \
-d '{ "content": "Deployed v2.0 — fixed auth race condition with mutex on refresh", "agent_id": "'"$MEMCLAWZ_AGENT_ID"'", "memory_type": "event" }'
Memory Types
| Type | When |
|---|---|
fact | Discovered info (endpoints, versions, configs) |
decision | Choices made (architecture, approach, tool selection) |
procedure | How something was done (deploy steps, build process) |
event | What happened (deployed X, fixed Y, shipped Z) |
insight | Lessons learned (what worked, what didn't) |
intention | Planned actions |
commitment | Promises made |
action | Actions taken |
outcome | Results of actions |
Stats
curl -s "$MEMCLAWZ_URL/api/v1/stats"
List Agents
curl -s "$MEMCLAWZ_URL/api/v1/agents"
Get Memories
curl -s "$MEMCLAWZ_URL/api/v1/memories?agent_id=$MEMCLAWZ_AGENT_ID&limit=50"
AGENTS.md Integration
Append to your agent's AGENTS.md:
## MemClawz Shared MemoryFleet memory API: $MEMCLAWZ_URL/api/v1
Before ANY task: Search shared memory for relevant context:
curl -s "$MEMCLAWZ_URL/api/v1/search?q=&limit=5"After completing ANY significant work: Write results to shared memory:
curl -s -X POST $MEMCLAWZ_URL/api/v1/add \
-H "Content-Type: application/json" \
-d '{"content": "", "agent_id": "$MEMCLAWZ_AGENT_ID", "memory_type": ""}'
Remote Agents
For agents on a different server, just change MEMCLAWZ_URL from localhost:3500 to the master's IP/hostname:
export MEMCLAWZ_URL="http://76.13.154.71:3500"
Everything else stays the same.