之前折腾了 OpenClaw,主要用于帮助我记录数据之类的。前几天突发奇想,给 OpenClaw 接入我常用的一个 App 中,因为那个 App 是有网页版的,于是我便去控制台查看了常用的一些功能的接口,并没有什么特殊的加密处理。
甚至有一点搞笑,我第一次见 GET 请求的时候给 token 作为参数发送给后端,是参数不是放在了 header 中!!!甚至个别的 POST 请求也是给 token 拼接在后面然后再给参数放在 body 中,怎么说我之前并没有见过这种写法,觉得太奇怪了。
后来的一段时间我并没有特别在意,因为根据他的接口我已经完成了我日常需要使用功能的 skill 编写。直到前几天我的 OpenClaw 开始不太稳定,因为接口的部分字段我并不知道是什么意思,所以只能反向推测,这样会麻烦一点但是还是可以用。
再后来出错的频率开始增加了,我就打算重新编写 skill 并且接入 Hermes(之前就安装了但是因为响应比较慢就重新改用 OpenClaw)。
前几天晚上我打开网站然后进入控制台,经过几次对比有几个重要的字段还是不能确定,于是我就在想能不能通过他的源码来倒退,虽然字段或者代码会有编译但是交给 AI 应该可以推断出来。
于是我打开控制台的源代码 tab,我发现这踏马的没有一点的加密,跟我们开发时候那个文件一样,目录十分的清晰……
然后我发现了他项目的 sourcemap 文件就在他们的服务器上,然后我下载之后通过 Python 给他们的源代码给下载了下来……
但是这也只是结构清晰的文件并不能运行,但是通过引入的库进行反推最终在 AI 的帮助下复原了配置文件(当时 env 这种没有,不过他的项目配置是在一个 JSON 中配置的)然后我在本地运行起来了……
这真的应了那句话——世界就是一个巨大的草台班子。