首页龙虾技能列表 › Telegram-Bot-managerj — 本地高权限存储管理器

Telegram-Bot-managerj — 本地高权限存储管理器

v1.0.0

管理和保护本地高权限存储,用于创建、启动、停止或强化全驱动文件服务器和相关工作流。注意:实际功能与名称不符,可能为本地文件服务器管理器。

0· 562·0 当前·0 累计
by @manlight87·MIT-0
下载技能包
License
MIT-0
最后更新
2026/2/22
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该包包含一致的本地文件服务器实现,但注册元数据和名称与有效负载和技能默认设置(根目录=C:\,令牌行为)不匹配,且未记录的环境变量存在风险——使用前请审查。
评估建议
在未验证之前,请勿安装或运行此技能。具体考虑点:- 元数据/名称不匹配:该包标记为与Telegram相关的技能,但包含'God Mode Manager'文件服务器——请向发布者询问澄清或源代码来源。- 隐藏的环境变量:捆绑包期望GOD_MODE_TOKEN和其他环境变量,但注册表声明没有——设置强令牌并验证技能将不会在没有它的情况下运行。- 危险的默认设置:默认根目录为C:\(全系统驱动器)。如果必须运行,请将GOD_MODE_ROOT更改为最小目录,并确保GOD_MODE_HOST为127.0.0.1且启用令牌身份验证。- 最小权限:不要以提升权限的用户身份运行;在隔离环境(沙盒、VM、容器)中运行以进行测试,并审计哪些文件被服务。- 审核代码:在安全环境中审查脚本/server.cjs(提供)并测试,然后再公开任何网络绑定。如果您不信任源或无法验证作者,请勿在生产或敏感主机上运行。如果发布者可以解释名称/元数据不一致并更新注册表以声明所需的环境变量和更安全的默认设置,风险将会降低。...
详细分析 ▾
用途与能力
技能的发布名称/缩写(Telegram-Bot-managerj / telegrambot)和注册表中的简短描述与包含的文件不匹配,这些文件实现了一个'God Mode Manager'本地文件服务器。这种不匹配是一个红色警标:要么元数据不正确,要么该包被重新用途/错误标记。实际能力(服务系统根目录,列出和返回文件)对于'本地存储管理器'来说是合理的,但考虑到注册表名称,这是意外的。
指令范围
SKILL.md 和运行时脚本彼此一致:指令告诉代理运行 node scripts/server.cjs 并绑定和要求令牌。服务器实现了列出、读取(带有小型读取端点)和在配置的 ROOT 下进行完整下载。这种行为与声明的操作目的(管理/强化本地存储)相匹配,但默认 ROOT 是系统驱动器 (C:\) ,README 依赖于操作员自律(绑定到回环,要求令牌)。如果配置错误,这将授予对敏感文件的广泛访问权限。
安装机制
没有安装脚本或外部下载;该技能仅为指令加上包含的代码文件。没有从外部 URL 拉取内容或自动安装,这降低了供应链风险。代码是包含在捆绑包中的普通 JS。
凭证需求
注册表元数据列出了没有所需的环境变量或主要凭证,但代码和 SKILL.md 依赖于几个环境变量(GOD_MODE_ROOT、GOD_MODE_HOST、GOD_MODE_PORT、GOD_MODE_TOKEN、GOD_MODE_TOKEN_REQUIRED、GOD_MODE_MAX_READ_BYTES)。特别是 GOD_MODE_TOKEN 默认是必需的(如果缺失,进程将退出)。元数据中未声明所需的环境变量这一事实是一种不一致,隐藏了需要秘密令牌的需求以及如果使用默认设置则存在泄露敏感数据的风险。
持久化与权限
该技能不请求 always:true 且不修改其他技能或系统设置。然而,运行它会给予进程访问配置的根目录(默认:整个系统驱动器)的权限。这是一种在运行时具有高权限的能力 — 如果意外启动或使用不充分的身份验证/绑定,则很危险。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/2/22
● 可疑

安装命令 点击复制

官方npx clawhub@latest install telegrambot
镜像加速npx clawhub@latest install telegrambot --registry https://cn.clawhub-mirror.com

技能文档

使用此技能来操作一个加固的本地存储管理器。

启动点

  • 确认目标根路径和端口。
  • 确认身份验证令牌策略。
  • scripts/ 中运行服务器脚本。
  • 验证本地仅限可达性和身份验证。

默认运行命令

node scripts/server.cjs

运行时环境

  • GOD_MODE_ROOT: 暴露的根路径(默认 C:\)。
  • GOD_MODE_HOST: 绑定主机(默认 127.0.0.1)。
  • GOD_MODE_PORT: 绑定端口(默认 8888)。
  • GOD_MODE_TOKEN: 访问令牌。
  • GOD_MODE_TOKEN_REQUIRED: 默认为 true

操作规则

  • 除非明确要求,否则将服务器绑定到回环。
  • 对非调试使用启用令牌身份验证。
  • 拒绝超出配置根目录的路径遍历。
  • 对自动化偏好结构化 JSON 列表。

文件

  • scripts/server.cjs: 服务器实现。
  • references/ops.md: 操作说明和运行手册。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务