by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和运行指令与 token 使用/成本监控工具一致,网络/凭证需求合理,但注册元数据未声明环境变量,存在少数小不一致,建议安装前审查。
评估建议
该技能如所述:本地存储使用数据,使用 API 密钥查询提供商 API,提供提醒/报告。安装前:1) 确认设置预期环境变量;2) 审查脚本;3) 使用绝对路径,非 root 运行;4) 仅提供可信任的 API 密钥;5) 不信任源时在隔离环境运行或手动审查/修改代码。...详细分析 ▾
✓ 用途与能力
代码(管理器/调度器/会话追踪器)实现了如描述的 token 估算、余额检查、定时提醒和跨会话分析。网络调用目标为 LLM 提供商 API(moonshot/OpenAI/Anthropic/Gemini/localhost),这是 token 管理器的预期行为。代码中的定价和提供商表与声明的目的相符。
ℹ 指令范围
SKILL.md 指示代理从环境变量读取 API 密钥,在本地 .data/ 目录存储数据,注册 cron 作业,并编辑 openclaw.json 添加工具。指令不尝试读取无关系统文件或泄露数据。注意:SKILL.md 和脚本依赖环境变量(MOONSHOT_API_KEY, OPENAI_API_KEY, ANTHROPIC_API_KEY),尽管注册元数据未声明任何必需环境变量——此不匹配应被纠正/确认。
✓ 安装机制
没有安装规格(无远程下载)。包作为本地 JS 脚本提供;无外部安装或存档提取。这样可以最小化安装时风险。
ℹ 凭证需求
工具需要提供商 API 密钥来查询余额/估算 token;这些凭证与其功能成比例。然而,注册元数据未列出任何必需环境变量,而 SKILL.md 和调度器/管理器脚本预期 MOONSHOT_API_KEY(以及可选的 OPENAI_API_KEY / ANTHROPIC_API_KEY)。此元数据遗漏是一个在信任自动运行之前需要修复的不一致。
✓ 持久化与权限
技能仅在其本地 .data/ 目录下持久化数据(config.json, 会话, 提醒)。它不请求提升系统权限,也不尝试修改其他技能或系统范围的代理设置。always 为 false,自主调用已启用(平台默认)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.2.02026/2/11
**摘要:** 添加定时监控和跨会话分析,带有主动提醒。- 介绍定时监控和余额提醒(`scheduler.js`);- 添加跨会话追踪和分析(`session-tracker.js`);- 提升文档;- 提供 cron 示例和工具集成步骤;- 本地存储所有监控/提醒状态和会话数据;- 无 API 使用或密钥变化。
● 无害
安装命令
点击复制官方npx clawhub@latest install token-manager
镜像加速npx clawhub@latest install token-manager --registry https://cn.longxiaskill.com
技能文档
已提供(上述中文文档为 SKILL.md 的翻译,保留了原始 Markdown 格式和未翻译的代码块、命令行指令等)