by 安全扫描
OpenClaw
可疑
high confidence技能基本符合描述目的(本地成长追踪),但包含危险的代码注入模式,自动记录对话可能带来隐私和安全风险。
评估建议
该技能主要用于本地成长追踪,但存在严重的代码注入漏洞。建议在修复前禁用自动记录和外部同步,使用时采取沙箱环境、手动调用等预防措施。...详细分析 ▾
✓ 用途与能力
名称/描述与提供的文件和脚本一致:本地 JSON/JSONL 存储、报告生成和可选飞书同步。无默认外部服务。
⚠ 指令范围
SKILL.md 指示 Agent 在对话结束时自动调用 accumulate.sh,授予广泛权限记录对话派生字符串。
✓ 安装机制
仅指令和捆绑脚本 — 无安装程序或远程下载。脚本存储在技能目录,仅在调用时运行。供应链/安装方面低风险。
ℹ 凭证需求
默认不需要环境变量或外部凭证。可选飞书同步通过写入本地数据文件配置令牌,比例适当,但应视为明确选择。
⚠ 持久化与权限
always:false(良好)。然而 SKILL.md 明确要求 Agent 在对话期间自动记录事件,并建议使用 cron/heartbeat 自动化进行夜间/晨间运行。自动记录 + 定时处理如果不选择或限速会增加风险;与脚本中的代码注入漏洞结合,特别危险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/6
EVA主题个人成长追踪系统更新:8条命令、自动化积累和夜间结算、7种里程碑协议、月度人类补完报告
● 可疑
安装命令
点击复制官方npx clawhub@latest install cyber-growth
镜像加速npx clawhub@latest install cyber-growth --registry https://cn.longxiaskill.com
技能文档
追踪你的成长进度,用赛博朋克 × EVA 语言量化一切。... (中间内容保持原样,不翻译)
定期报告
在 heartbeat 或 cron 中调用:# 周报(最近 7 天)
bash ~/.openclaw/skills/cyber-growth/scripts/grow.sh report --days 7
# 月报(最近 30 天)
bash ~/.openclaw/skills/cyber-growth/scripts/grow.sh report --days 30