skill-fixon-homepage

OpenClaw 主页插件 - 让访客在你的个人主页上与 AI 助手对话。支持多访客并发、上下文隔离，无需泄露敏感信息。

这个插件总体上实现了描述的主页聊天桥接功能，但在实现和安全实践上有几个需要你注意并在安装前处理的点： - 配置与密钥存放：Agent API key 和 插件的 security.api_key 存在于明文文件 ~/.openclaw/homepage/config.yaml 中，确保你信任运行主机并不要把敏感或私人数据放进被索引或上传的知识库。 - WebSocket token 泄露风险：main.py 将 gateway token 放在 URL 查询参数（?token=...），这可能出现在代理/日志中；建议改为通过头部或安全通道传递 token，或确认 Gateway 在本地网络且受限访问。 - 依赖与运行环境：init.sh 在全局环境安装依赖且未安装 websocket-client（main.py 需要），会导致运行失败或污染系统 Python。建议在受控虚拟环境（venv）或容器中运行，并手动安装缺失依赖（例如 websocket-client）。 - 可疑/不通用脚本：scripts/call_agent.sh 包含硬编码用户路径 (/Users/yaoyi/…) 并依赖本地 openclaw CLI，这个文件看起来是个人化的调试脚本；在运行前检查并删除或修正路径与行为。 - 权限与网络：只在受信任环境启动服务（默认 0.0.0.0:8080 会监听所有接口），如果仅需本机或内网访问，请修改 host 为 127.0.0.1 或在防火墙中限制端口访问；务必在配置 security.api_key 后启用认证。 建议：在沙箱/本地虚拟环境中先审查并修复脚本（添加 websocket-client，改用 venv，移除或修正 call_agent.sh 的硬编码），把敏感凭据放到更安全的存储（或至少限制文件权限），并确保 Gateway 地址可信后再在生产环境中公开该服务。

Type: OpenClaw Skill Name: skill-fixon-homepage Version: 1.0.0 The skill contains significant security vulnerabilities and implementation flaws. Specifically, `scripts/main.py` implements an authentication bypass in the `/homepage/chat` endpoint because the API key check is skipped if the Authorization header is missing, and the `/homepage/sessions` endpoint is entirely unprotected. Additionally, `scripts/call_agent.sh` contains a hardcoded absolute path to a specific user's home directory (`/Users/yaoyi/`), and the Python code contains runtime errors such as a missing `Optional` import and missing dependencies in `requirements.txt` (e.g., `websocket-client`).