Claude Skill
ruilisi/lsbot
LSBot is a lightweight, secure bot framework written in Go. It features MCP server integration and OpenClaw support for building extensible, security-first automation bots.
Overview
Repository
Install this Skill
git clone https://github.com/ruilisi/lsbot.gitRegistry
Summary
LSBot (Lean & Secure Bot) is a lightweight, security-focused bot framework written in Go. It integrates MCP server capabilities and OpenClaw support, designed for developers who need a minimal yet extensible bot with built-in secure communication and modular architecture.
精简与安全机器人
Key features
- Lightweight Go-based bot with minimal footprint
- Built-in MCP server integration for extensible communication
- OpenClaw support for secure and flexible operations
- Security-first design with lean architecture
- Modular structure for easy customization
Use cases
- Building secure automation bots for DevOps workflows
- Creating lightweight MCP-compatible chat or command bots
- Deploying secure bot services in constrained environments
- Prototyping modular bot systems with Go
- Integrating OpenClaw-based secure channels into bot applications
README excerpt
[English](./README_EN.md) | 中文 <div align="center"> <img src="https://files.lingti.com/images/lsbot-banner-dark.svg" alt="lsbot — Lean & Secure Bot" width="360" /> </div> --- # lsbot — Lean & Secure Bot > **不需要信任的地方,就不应该建立信任依赖。** [](https://go.dev/) [](LICENSE) [](https://lsbot.org) [](https://lsbot.net) > 📖 **文档:[lsbot.org/docs](https://lsbot.org/docs)** | 国内镜像:[lsbot.net/docs](https://lsbot.net/docs) --- ## Bot Needs to be Secured 当你运行一个 AI Bot,你实际上把机器的钥匙交了出去:文件、终端、数据库、浏览器会话、凭证。Bot 读取你的代码、笔记、私人文档,并以你的名义执行命令。 问题不是 Bot 是否有用。**问题是:还有谁能看到它看到的东西?** 你每天操作电脑,层层加密加锁——密码管理器、磁盘加密、双重验证。但当你打开一个 AI Bot,这一切防线往往荡然无存。你的每一条消息、每一个工具调用结果,都在你不知情的情况下流经某台你不控制的服务器。 这不是理论风险。这是今天几乎所有 AI Bot 工具的默认配置。 --- ## Why OpenClaw is Not Secured OpenClaw(以及大多数同类工具)以便利性和功能广度为设计目标,安全性是事后考虑,而非核心设计原则。 | 问题 | 意味着什么 | |---|---| | 消息通过开发者的云服务路由 | 服务商可以读取每一条消息 | | 没有端到端加密 | 任何中继节点都可以审查内容 | | npm 依赖链 | 500+ 第三方包,任何一个都可能被攻击 | | Node.js 运行时 | 动态执行环境,攻击面庞大 | | 没有本地数据保证 | 对话历史、上下文、记忆——存储位置不明 | OpenClaw 在功能和集成方面做得出色。但它的架构假设你信任中继基础设施。对于个人电脑、企业环境,或任何数据敏感的场合,这个假设不成立。 当你把终端和文件的访问权限交给 AI Bot,传输层必须被当作敌对环境对待。OpenClaw 没有做到这一点。 --- ## Why lsbot `lsbot` 是 **Lean Secure Bot** 的缩写。名字也呼应了 `ls`——Unix 最基础的命令,第一次拿到新机器时你敲的第一个命令。像 `ls` 一样,lsbot 是一个基础工具:精简、专注、永远可用。 **lsbot 建立在一个核心原则上:你的数据属于你。** 这个原则决定了每一个架构选择: - **端到端加密,默认开启。** 所有 relay 流量使用 P-256 ECDH + AES-256-GCM 加密。中继服务器只看到密文,无法读取你的消息。 - **单一静态二进制。** 没有运行时,没有包管理器,没有依赖链。攻击面就是这一个二进制文件——可审计、确定性、可复现。 - **本地优先。** 对话历史、记忆、配置、凭证——全部存储在你的机器上。没有任何内容写入云端数据库。 - **密钥验证带外进行。** 浏览器不会自动从服务器获