WeCom文件发送 — 通过企业微信发送本地文件
v1.0.0通过企业微信将本地目录中的文件(文档、图片、视频、语音)发送给指定用户,支持文件大小限制管理。
0· 375·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能声称通过企业微信发送本地文件,但其指令访问本地工作空间目录,而没有解释如何提供企业微信的身份验证/凭证 — 这种不一致可能会暴露敏感文件。
评估建议
该技能不一致:它指示代理读取本地工作空间目录并通过企业微信发送文件,但没有提供如何配置身份验证或目标的信息。安装或使用前,请向发布者询问:(1)企业微信凭证(CorpID/Secret/AgentId 或 webhook)如何/在哪里提供?(2)哪些确切的收件人/端点将接收文件?(3)技能是否可以限制为特定目录或文件类型?(4)每次读取/发送文件时是否会有明确的提示/同意?如果无法获得明确的答案,请避免授予代理访问敏感工作目录的权限,并仅使用沙盒和非敏感文件进行测试。考虑禁用自主调用或在任何文件访问或网络上传之前要求明确的用户确认。...详细分析 ▾
⚠ 用途与能力
声明的目的为通过企业微信发送本地文件,但该技能没有声明任何凭证、环境变量或用于身份验证到企业微信的配置。一个合法的企业微信集成通常需要CorpID/CorpSecret/AgentId或webhook/token;但这里没有请求或记录任何这些内容,这与声明的能力不一致。
⚠ 指令范围
SKILL.md 指示代理读取特定的本地目录(例如 ~/.openclaw/workspace/、memory/companywork/、memory/douyin-videos/)并运行类似 ls/grep 的命令来查找文件。该范围包括可能敏感的公司内容。指令没有限制哪些文件可以被读取或解释如何授权文件选择和传输,给予代理广泛的自由访问本地文件的权限。
✓ 安装机制
这是一个仅有指令的技能,没有安装规范或写入磁盘的代码。没有识别到任何与安装相关的风险。
⚠ 凭证需求
该技能没有请求任何环境变量或凭证,但它声称执行一个身份验证的网络操作(通过企业微信发送)。缺乏必要的身份验证/配置是不成比例的且未解释。另外,技能引用公司特定的目录意味着在没有明确的正当理由或声明的最小权限边界的情况下访问敏感数据。
ℹ 持久化与权限
该技能不请求持久/始终在线的存在(always: false)并且没有安装操作。然而,因为代理的自主调用默认是允许的,代理可能被指示(或决定)访问列出的本地目录并发送文件;这种运行时能力与其他不一致性结合,引发了隐私担忧。这本身不是权限提升,但增加了影响范围。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/18
WeCom 文件发送技能 1.0.0 — 首发版本:- 封装了将本地文件通过企业微信发送给用户的功能。- 支持发送文档、图片、视频、语音等常见文件类型。- 设定了不同类型文件的体积限制并自动处理超限情况。- 提供了标准的文件发送指令 MEDIA: 及使用方法说明。- 列出了常用触发词和详细操作示例。- 指定了文件查找及路径格式注意事项。
● 无害
安装命令 点击复制
官方npx clawhub@latest install wecom-file-sender
镜像加速npx clawhub@latest install wecom-file-sender --registry https://cn.clawhub-mirror.com
技能文档
功能描述
通过企业微信将本地目录中的文件(文档、图片、视频、语音)发送给指定用户,支持文件大小限制管理。使用方法
- 指定文件路径和类型
- 使用
MEDIA:指令发送文件
注意事项
- 文件路径格式:
~/path/to/your/file - 支持的文件类型:
.pdf,.jpg,.mp4,.mp3
示例
# 发送文档到指定用户
MEDIA: ~/Documents/report.pdf to @username
版本历史
1.0.0
- 首发版本,封装了基本文件发送功能。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制