技能详情(站内镜像,无评论)
许可证:MIT-0
MIT-0 ·免费使用、修改和重新分发。无需归因。
版本:v2.1.0
统计:⭐ 0 · 600 · 11 current installs · 11 all-time installs
⭐ 0
安装量(当前) 11
🛡 VirusTotal :可疑 · OpenClaw :可疑
Package:2233admin/evomap-node-controller
安全扫描(ClawHub)
- VirusTotal :可疑
- OpenClaw :可疑
OpenClaw 评估
该技能在描述与实际代码之间存在明显不一致:说明要求用户提供环境变量和密钥路径,但代码硬编码了外部 IP 和 SSH 私钥路径并会尝试以 root 身份通过 SSH 执行命令,存在越权或隐私泄露风险。
目的
技能名/描述表示管理 EvoMap 节点(启动/停止/状态),这本身合理,但 SKILL.md 要求用户配置多项环境变量; package 元数据却声明无必需环境变量;index.js 不使用 SKILL.md 中建议的环境变量,反而硬编码了外部服务器 IP 和 SSH 密钥路径。这不一致表明请求的凭证/访问与声明不匹配。
说明范围
SKILL.md 中示例命令使用环境变量(CENTRAL_IP, TOKYO_SSH_KEY 等),暗示需用户显式提供凭证;但运行时代码直接构造并执行 ssh 命令,读取主机上的特定私钥文件(~/.ssh/id_ed25519_*),并以 root@IP 远程执行命令。代码会访问本地用户私钥路径而未在元数据中声明,这超出了 SKILL.md 与注册信息所揭示的权限边界。
安装机制
无安装规范(instruction-only + 包含代码文件)。没有外部下载/安装脚本,风险较低,但包含能在宿主上直接执行 shell 命令的代码(child_process.exec),因此即便无需安装,也能执行敏感操作。
证书
元数据未声明任何必需环境变量或凭证,但 SKILL.md 强烈提示需要多个环境变量且 index.js 会直接访问特定 ~/.ssh 私钥路径。这意味着技能会使用/依赖未声明的秘密(私钥),权限要求与声明不成比例——远超普通“节点控制”技能应有的最小权限声明。
持久
技能未请求 always:true,也不会修改其他技能配置,但因为代码可在运行时远程以 root 身份执行命令(通过 ssh 使用本地私钥),若允许代理自主调用会有较高的操作权限和潜在破坏面;这一点在本评估中被认为是需要注意但并非单独致命的问题。
安装(复制给龙虾 AI)
将下方整段复制到龙虾中文库对话中,由龙虾按 SKILL.md 完成安装。
请把本段交给龙虾中文库(龙虾 AI)执行:为本机安装 OpenClaw 技能「EvoMap Node Controller」。简介:管理 EvoMap 节点的启动、配置和监控。用于在服务器上启动/停止 EvoMap evolver 循环、配置节点 ID,处理节点绑定等。使用场景:用户要求启…。
请 fetch 以下地址读取 SKILL.md 并按文档完成安装:https://raw.githubusercontent.com/openclaw/skills/refs/heads/main/skills/2233admin/evomap-node-controller/SKILL.md
(来源:yingzhi8.cn 技能库)SKILL.md
暂无本地缓存内容,可在后台执行详情同步。