fix: recover openclaw/node PATH for macOS Finder/Dock launches

[Ancienttwo]

背景

macOS 上通过 DMG 安装后，从 Finder / Dock 启动 ClawPal 时，应用进程可能拿不到 shell 的 PATH，导致 openclaw（以及依赖的 node）无法被发现。

此前启动阶段仅调用 fix_path_env::fix()，且错误被静默忽略，缺少失败时的补救逻辑。

改动内容

• 新增 src-tauri/src/path_fix.rs（macOS PATH 修复模块）
• 启动入口改为调用 ensure_tool_paths()（非 macOS 平台 no-op）
• fix_path_env::fix() 改为记录成功/失败日志
• 当 openclaw 或 node 缺失时，探测常见目录并补全 PATH
• 增加 NVM / FNM（含 ~/Library/Application Support/fnm）路径探测
• 补全后记录 openclaw / node 最终发现结果到 ~/.clawpal/logs/app.log

验证

• cargo test path_fix --lib ✅
• cargo build --lib ✅

建议手工验证（macOS）

• 从 Finder（非 Terminal）启动 app
• 首页能正常显示 openclaw 版本
• 检查 ~/.clawpal/logs/app.log 中 PATH 修复日志

[zhixianio]

感谢这个 PR！PATH 修复的部分解决了一个真实存在的 macOS 问题，写得很不错。不过安全相关的改动有几个问题，建议拆分处理。

✅ path_fix.rs — 很好，愿意合入

macOS 从 Finder/Dock 启动时拿不到 shell PATH 是个真实痛点，这个模块的实现很扎实：

• NVM/FNM 版本探测逻辑完善，有 alias/default 回退
• PATH 去重 prepend 逻辑正确
• 测试覆盖到位

小建议：unsafe { env::set_var } 虽然在 main() 线程启动前调用是安全的，但可以加个注释说明为什么这里是 safe 的。

❌ 安全相关改动 — 建议移除

1. SHA256 校验值是空字符串的哈希

const INSTALL_SCRIPT_SHA256: &str = "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855";

这是 SHA256("") 的结果（空字符串哈希），实际运行时会始终拒绝真正的 install.sh，直接导致升级功能完全不可用。

2. 固定哈希的方案本身不可行

openclaw 的 install.sh 会随版本更新变化，如果我们 pin 住哈希值，每次上游脚本更新都需要 ClawPal 同步发版，造成不必要的耦合。而且 curl | bash 走的是 HTTPS，传输层已经有完整性保护。

3. exec_login 的注入防护解决的是不存在的问题

传入 exec_login 的命令全部由我们自己的代码构造，不涉及用户输入，不存在注入风险。另外：

• shell_quote 函数在 diff 中被引用但未定义
• eval "$(fnm env)" 改为 { fnm env; } | . /dev/stdin 降低了可移植性，eval 是 fnm 官方推荐的用法

建议

请把 PR 拆成两个：

1. path_fix.rs 模块 — 可以直接合入（或小改后合入）
2. 安全改动 — 建议先讨论威胁模型再决定是否需要

[zhixianio]

已经把 PATH 修复的 commit (6d8ab31) cherry-pick 到 main 了，会包含在 v0.3.0 release 中。release notes 里也加了致谢 👍

安全相关的 commit 暂时没有合入，原因见上面的 review。如果你觉得有需要可以继续讨论威胁模型，或者单独开一个 PR。

[Ancienttwo]

感谢详细 review，也感谢已经把 path_fix commit cherry-pick 到 main。release notes 里也加了致谢，感谢你们这么快处理。

安全相关改动我接受拆分处理，这个 PR 不再继续推进该部分。你指出的空 SHA256 常量问题是有效 bug，会导致升级流程不可用，这点我认领；在当前线程里继续修补这些改动，确实不如先收敛。

固定哈希与 exec_login 改动是否值得引入，需要先在明确威胁模型下讨论。我认同目前这部分论证还不够完整，尤其是保护目标、维护成本和兼容性 tradeoff 还没有定义清楚。

我会单独开一个威胁模型讨论/issue，整理本地升级和远程升级的保护目标、攻击面（传输、脚本来源、远端 shell 执行）、信任边界，以及可接受的维护成本/兼容性约束，再决定是否提交独立 PR。再次感谢 review 和 cherry-pick。

[dev01lay2]

This PR appears resolved — the path_fix.rs commit was already cherry-picked to main by the repo owner, and the security-related changes were declined pending a separate threat model discussion. Both parties agreed to close out the security portion.

No further action needed from reviewers. The contributor mentioned they'll open a separate issue for the threat model discussion if they want to pursue the security hardening.

[ppxbot-cto]

🔍 代码审查结果

🟡 中等严重程度 (1 个问题)

• 安全问题: 在 src-tauri/src/ssh.rs:42 使用了潜在危险的 exec 函数
  • 建议：考虑使用更安全的替代方案

🟢 低严重程度 (14 个问题)

• 多行代码超过 88 字符建议长度，主要分布在:
  • src-tauri/src/commands.rs (7 行)
  • src-tauri/src/path_fix.rs (2 行)
  • src-tauri/src/ssh.rs (5 行)

📊 总结

• 总问题数: 15
• 高危: 0
• 中危: 1
• 低危: 14

💡 建议

代码整体质量良好。建议关注 ssh.rs 中的 exec 函数使用，确保输入经过严格验证。代码行长度问题可以在后续迭代中优化。

[ppxbot-cto]

📋 正式审查意见

已完成代码审查。发现 1 个中等严重程度问题（ssh.rs 中的 exec 函数使用）和 14 个低严重程度问题（代码行长度）。

建议: 代码整体可接受，建议关注安全问题并在后续迭代中优化代码格式。

[dev01lay2]

🧪 Test Coverage Report

PR #9: fix: recover openclaw/node PATH for macOS Finder/Dock launches
Branch: fix/critical-security-vulnerabilities → main

Rust Tests (clawpal-core)

	main (base)	fix/critical-security-vulnerabilities (PR)	Δ
✅ Pass	140	140	0
❌ Fail	0	0	0
⏭️ Skip			0

TypeScript Tests (bun)

	main (base)	fix/critical-security-vulnerabilities (PR)	Δ
✅ Pass			0
❌ Fail			0
📊 Line Coverage	N/A%	N/A%	—

---

Updated: 2026-03-03 02:36 UTC · clawpal-pr-coverage bot

[dev01lay2]

PR #9 Formal Review — fix/critical-security-vulnerabilities

Following up with a formal review decision since this hasn't been closed yet.

🔴 BS: INSTALL_SCRIPT_SHA256 is SHA256("") — the empty-string hash

const INSTALL_SCRIPT_SHA256: &str = "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855";

This is the well-known SHA-256 of an empty input. Any non-empty install.sh will always fail the checksum check, making run_openclaw_upgrade permanently broken for all users. The same hardcoded hash is also embedded in the remote exec_login shell command, so remote upgrade is equally broken.

Beyond this specific bug, zhixianio already explained in detail why a pinned-hash scheme doesn't work for a frequently-updated install script — each upstream change would require a coordinated ClawPal release just to bump the constant. The PR also has merge conflicts at this point.

✅ path_fix.rs — still good

The macOS PATH-fix module itself is solid (as noted in earlier reviews) and was already cherry-picked to main.

Recommendation: The security-hardening portion needs a proper threat model discussion (see repo owner's earlier comment) before any implementation. Suggest closing this PR and opening a separate issue to track the upgrade-integrity work if you'd like to continue.

[dev01lay2]

BS: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 is SHA256("") — the hash of an empty string. Every real install.sh will fail this check, permanently breaking the upgrade command. This needs to be a real hash (or the pinned-hash approach needs to be reconsidered entirely).