by 安全扫描
OpenClaw
安全
high confidence该技能的代码、指令和请求的资源与本地 TOTP/2FA 管理器一致;密钥本地存储在 JSON 保险库中,不包含网络请求或意外的凭据请求。
评估建议
该技能功能与描述完全一致:本地 TOTP 管理器,支持 CLI 和 Tkinter GUI,无网络活动。安装前请考虑:(1) 密钥以明文 JSON 格式存储(默认 ~/.config/otpforge/secrets.json),虽然文件创建时设置为 mode 600,但未加密——如需更强保护,请将文件存储在加密磁盘上或修改代码使用 OS keyring/加密。(2) GUI 将验证码复制到剪贴板,其他应用可能读取;注意剪贴板暴露风险,必要时清除。(3) 可使用 OTPFORGE_STORE 或 --store 覆盖保险库位置。(4) 由于这是捆绑的源代码,您可以(也应该)在信任真实 2FA 密钥之前审查文件或在沙箱中运行。代码中无网络调用或隐藏端点。...详细分析 ▾
✓ 用途与能力
名称/描述(本地管理 TOTP 验证码,CLI + 可选 Tkinter GUI)与提供的代码(cli.py、core.py、gui.py)一致。该技能不请求无关的凭据或二进制文件。
✓ 指令范围
SKILL.md 描述了运行提供的 CLI 和 GUI,并引用了可选的 OTPFORGE_STORE 环境变量和 CLI --store 标志;这些行为已在代码中实现。指令不要求代理读取无关文件、调用外部端点或泄露数据。
✓ 安装机制
未提供安装规范(仅指令)。源代码与技能捆绑在一起;没有从 URL 下载、包安装或执行获取的代码。从安装角度来看风险较低。
ℹ 凭证需求
该技能不请求环境凭据。它支持可选的 OTPFORGE_STORE 环境变量来覆盖本地保险库路径(不是密钥)。然而,保险库是明文 JSON 文件(以 mode 0o600 写入)—— 密钥以未加密形式存储在磁盘上。不请求 API 密钥、令牌或密码等环境变量。
✓ 持久化与权限
该技能不是始终启用的,不修改其他技能或全局代理配置,也不请求提升的权限。它在用户配置目录中写入本地文件(保险库),这对于此目的是预期的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/22
otpforge v0.1.0 - otpforge 本地 TOTP/2FA 管理初始版本发布。命令行界面 (CLI) 支持添加、列出、移除账户并显示 TOTP 验证码。可选的 Tkinter GUI 用于查看和刷新 2FA 验证码。保险库以 JSON 格式存储(默认:~/.config/otpforge/secrets.json),支持灵活覆盖选项。密钥可通过 GUI 安全添加、更新和掩码输入。
● 无害
安装命令
点击复制官方npx clawhub@latest install otpforge
镜像加速npx clawhub@latest install otpforge --registry https://cn.longxiaskill.com
技能文档
本地 TOTP/2FA 管理器
概述
Otpforge 是一个本地 TOTP/2FA 验证码管理工具,支持通过命令行界面(CLI)或可选的 Tkinter GUI 管理您的双因素认证账户。
功能特性
- CLI 管理:通过命令行添加、列出、移除账户,显示当前 TOTP 验证码
- Tkinter GUI:可选的图形界面,方便查看和刷新 2FA 验证码
- 本地存储:密钥以 JSON 格式本地存储(默认 ~/.config/otpforge/secrets.json)
- 安全输入:通过 GUI 添加密钥时可安全输入和掩码
使用方法
命令行界面
# 添加账户 otpforge add# 列出所有账户 otpforge list
# 显示账户的当前验证码 otpforge show
# 移除账户 otpforge remove
# 查看帮助 otpforge --help
GUI 模式
otpforge gui
环境变量
OTPFORGE_STORE:自定义保险库文件路径
命令行参数
--store:指定保险库文件路径(一次性覆盖)
安全注意事项
- 密钥以明文 JSON 格式存储在本地
- 建议在加密磁盘上存储保险库文件
- 使用 GUI 复制验证码后请及时清除剪贴板
- 在用于真实 2FA 密钥前建议审查源代码
存储位置
默认保险库位置:~/.config/otpforge/secrets.json
文件权限:0600(仅所有者可读写)