by 安全扫描
OpenClaw
安全
medium confidence该技能的要求和运行指令与 Nostr 身份/健康检查 CLI 一致:从 GitHub 获取和编译 Go 工具、创建/发布 Nostr 事件,并可以写入或管道式处理秘密密钥。主要运营风险在于私钥处理和编译上游代码。
评估建议
该技能如描述般工作(构建 Nostr CLI 并创建/检查身份)。安装前考虑:1) 通过 `go install` 拉取和构建上游源代码——如果需要更强的供应链保证,请审查或固定 GitHub 存储库/提交;2) 默认情况下,工具可能将秘密密钥(nsec)输出到 stdout/JSON——确保代理日志不泄露 stdout,或者使用 `--nsec-file`(0600)或 `--nsec-cmd` 将秘密存储在安全的本地密码存储中;3) 避免在命令行上传递秘密;4) 如果不信任远程代码,请在受控环境中运行构建/安装;5) 如果需要更高的保证,请在编译之前审计存储库代码和其依赖项。...详细分析 ▾
✓ 用途与能力
名称/描述与声明的功能一致(密钥对生成、发布 Nostr 事件、中继探测、LNURL/Cashu 交互)。未请求任何无关的凭据、二进制文件或配置路径。
ℹ 指令范围
SKILL.md 指示代理从 GitHub 获取并本地编译 nihao Go 工具,然后运行它生成/发布身份并执行健康检查。指令明确处理秘密:默认情况下,nsec 可能打印到 stdout(或可以写入文件或管道到命令)。这对于身份 CLI 是预期的,但意味着代理必须避免将 stdout 暴露给不受信任的日志,并必须使用 --nsec-file/--nsec-cmd 或 stdin 来保护秘密。
ℹ 安装机制
无预编译二进制文件;安装使用 'go install github.com/dergigi/nihao@latest' 从 GitHub 获取源代码并本地编译。这种模式很常见,但仍在主机上执行第三方代码(及其依赖项)——需要中等信任。未使用任意存档下载或个人服务器。
✓ 凭证需求
该技能不请求环境变量或外部凭据。其用于持久化秘密的选项(文件或管道到命令)对于目的合适;然而,如果操作员不小心,这些机制可以被滥用以暴露秘密。
✓ 持久化与权限
always:false 和默认调用权限合适。该技能不请求持久的系统范围配置或跨技能访问。仅当安装程序/代理使用 --nsec-file 标志时,它才会写入秘密文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.12.32026/2/17
更新技能文档以反映 nip17.com DM 中继默认值
● 无害
安装命令
点击复制官方npx clawhub@latest install nihao
镜像加速npx clawhub@latest install nihao --registry https://cn.longxiaskill.com镜像同步中
技能文档
功能披露
该技能安装单个 Go 二进制文件(nihao),功能包括:
- 生成 Nostr 密钥对
- 发布事件
- 发起 HTTP 请求
- 连接 Nostr 中继
前提条件
- Go 1.21+:编译二进制文件所需
安装
通过 Go 标准工具链从源代码编译:go install github.com/dergigi/nihao@latest
设置 — 创建新身份
nihao --name "AgentName" --about "I do things" --json
检查 — 审核现有身份
nihao check npub1... --json
备份 — 导出身份事件
nihao backup > identity.json
安全性
- 无预编译二进制:源代码公开、可审计
- 无密钥存储:除非明确使用
--nsec-file或--nsec-cmd - 无网络数据外泄:仅连接 Nostr 中继、NIP-05/LNURL 端点和 Cashu 铸币厂