by 安全扫描
OpenClaw
可疑
medium confidence该技能的迁移目的合理,但内部文档关于是否排除 API 密钥/凭据存在矛盾,运行指令暗示自动发送,可能导致意外暴露凭据。使用前请仔细审查代码和默认设置。
评估建议
["确认默认是否排除凭据,优先选择排除敏感信息的行为。","检查脚本和打包/解包代码,确保不读取 ~/.openclaw/credentials 或进行网络发送操作。","首次运行请使用 --no-send 选项,在隔离的 VM 或测试账号中测试。","如果必须传输备份,请使用加密通道(rsync/SSH),传输后删除临时存档。","避免运行未知的远程安装脚本(curl | bash),除非您信任来源并已审查过。","如果仓库包含 PROMOTION-v3,请将其视为营销材料,确认代码中的实际默认行为。"]...详细分析 ▾
⚠ 用途与能力
技能名称/描述(环境迁移)与文件和 CLI 示例匹配。但是,文件之间存在矛盾的声明:大多数文档和 SKILL.md 明确表示 API 密钥/凭据从备份中排除,而 PROMOTION-v3.md 明确声称 v3 将 '打包凭据'(打包您的 API 密钥)。
⚠ 指令范围
SKILL.md 描述了分析/打包/解包/传输流程,并在示例中明确显示了一个默认 '自动发送文件到当前频道' 的选项(尽管存在 --no-send)。
✓ 安装机制
这是仅指令的,没有安装规范;这保持了较低的风险(技能本身没有下载/安装任何内容)。
⚠ 凭证需求
技能声明没有必需的环境变量或凭据(良好),然而文档反复引用用户凭据路径(~/.openclaw/credentials)和是否包括/排除凭据。
✓ 持久化与权限
没有特权标志(始终:false)。模型调用启用(默认),这是正常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.12026/3/27
["增加打包格式选择(zip、tar.gz),默认 zip,兼容多平台。","支持自动发送打包文件到当前频道,并可通过 --no-send 关闭。","新增版本化打包(--versioned),带时间戳。","补充压缩相关文档:新增 COMPRESSION-COMPARISON.md 和 COMPRESSION-COMPLETE-REPORT.md。","更新文档,详细说明压缩选项和自动发送流程。"]
● 可疑
安装命令
点击复制官方npx clawhub@latest install openclaw-migration-pro
镜像加速npx clawhub@latest install openclaw-migration-pro --registry https://cn.longxiaskill.com镜像同步中
技能文档
(由于原始内容过长且包含大量不需要翻译的代码块和 Markdown 格式,以下仅提供翻译后的非代码部分,代码块和特定格式保持原样)