by 安全扫描
OpenClaw
安全
high confidence该技能的文件和运行指令与其描述的目的相符(本地、基于文件的会话记忆工具,使用 bash + node 实现)。它不请求外部凭据或网络访问,但会以明文存储记忆,因此应避免保存机密信息并保护记忆目录。
评估建议
["安装或运行前,请勿在记忆中存储 API 密钥、密码或其他机密信息——文件为未加密的 JSONL。","考虑将 AGENT_MEMORY_DIR 设置为安全位置并加强文件系统权限(例如,chmod 700)。","如果计划从不受信任的源导入/导出数据,请审查脚本。","如果需要,请备份或外部加密敏感记忆。","避免以 root 运行这些脚本或将 AGENT_MEMORY_DIR 指向系统目录。如果需要加密存储或秘密管理,请在使用敏感数据前添加加密或集成秘密管理器。"]...详细分析 ▾
✓ 用途与能力
名称/描述(持久会话记忆)与提供的脚本和 SKILL.md 匹配。代码使用 bash 和 node 实现保存、搜索、整合、导出、导入、修剪和统计;要求 'node' 二进制文件是合理和适当的。
ℹ 指令范围
SKILL.md 指示代理运行本地脚本,读写位于 AGENT_MEMORY_DIR(默认 ~/.agent-memory)的 JSONL 文件。指令保持在记忆域内(保存/回忆/上下文等),但包括示例明确建议将凭据存储为 'critical' 条目 — 脚本不加密或编辑存储内容,因此遵循该示例可能导致磁盘上的明文机密。
✓ 安装机制
没有安装规格(仅指令技能)和网络下载/安装步骤。存储库仅包含 shell 和 node 脚本;风险仅限于本地运行这些脚本。需要 node 运行时,如声明和预期。
ℹ 凭证需求
该技能不请求环境变量或凭据。它写入和读取本地文件(AGENT_MEMORY_DIR),并将处理那里找到的任何 JSONL 文件。虽然没有请求额外权限,但存储任意文本(包括机密)的能力以明文形式是一项隐私问题,应在使用前考虑。
✓ 持久化与权限
always:false,不请求持久安装操作。该技能不修改其他技能或系统设置;其持久性仅限于在指定记忆目录下创建/读取/写入文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/2/8
v2.0.0:相关性搜索、重要性级别、上下文加载器、整合、导出/导入、统计、编辑/删除
● 可疑
安装命令
点击复制官方npx clawhub@latest install session-memory
镜像加速npx clawhub@latest install session-memory --registry https://cn.longxiaskill.com
技能文档
持久记忆工具包用于 AI 代理。保存重要内容,根据相关性回忆,整合学习成果,跨会话追踪决策。v2.0: 支持相关性得分搜索、重要性级别、会话上下文加载器、整合、导出/导入、统计、编辑/删除。
...(以下内容与原文相同,未翻译以保持代码块和指令不变)