Feishu Bot Config Helper — 飞书机器人配置助手
v0.1.2辅助配置飞书机器人名称、应用凭证和大模型,自动匹配技能并生成本地及飞书文档。
0· 189·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码基本符合其声明的目的(自动配置飞书机器人),但安装方式(从 GitHub 执行 curl|bash / 重新克隆远程仓库)以及鼓励将 App Secret 粘贴到聊天中并存储在 openclaw.json 中的说明存在安全/隐私问题。
评估建议
该技能似乎能完成其声称的配置任务,但请谨慎操作:
- 不要盲目从 raw.githubusercontent.com 执行 curl | bash。在执行前检查 GitHub 上的 install.sh 内容(或使用注册表捆绑包)。
- 安装脚本在安装时克隆仓库;这可能会获取与您查看的捆绑包不同的代码。优先从注册表副本安装或在运行前查看远程仓库。
- 该技能要求您在聊天消息中粘贴 App ID 和 App Secret;这些凭据将以明文形式写入 ~/.openclaw/openclaw.json。尽量避免在聊天中分享密钥,并考虑安全存储凭据(或加密配置)。
- 运行后检查生成的 openclaw.json 并限制文件权限 (chmod),以防止密钥被广泛读取。
- 如果必须使用它,请在受控环境中运行包含的脚本(或检查/修改它们),并在允许脚本覆盖之前备份您现有的 openclaw.json。
- 如果您想要更低风险的选项,请请求一个不在安装时获取远程代码的安装程序,并支持安全的凭据存储(环境变量或密钥管理器),而不是通过聊天发送密钥。...详细分析 ▾
ℹ 用途与能力
技能文件(auto-configure-bot.js、install.sh)实现了声明的功能:解析文本配置、创建工作空间、更新 ~/.openclaw/openclaw.json 和重启 Gateway。然而,随附的 install.sh 和 SKILL.md 都指示用户获取/执行远程安装脚本(raw.githubusercontent.com),而 install.sh 本身执行 git clone 来自同一个 GitHub 仓库——当代码已经捆绑在注册表中时这是不必要的,并增加了在安装时拉取不同代码的风险。
⚠ 指令范围
运行时指令和脚本要求用户在纯文本消息(例如飞书聊天)中提供 App ID 和 App Secret。然后脚本将这些凭据直接写入 openclaw.json 的 channels.feishu.accounts 下。鼓励通过聊天发送凭据并将其保存在本地 JSON 文件(可能未加密)中是配置自动化这一狭窄任务之外的隐私/安全风险。
⚠ 安装机制
SKILL.md 建议运行 curl -fsSL https://raw.githubusercontent.com/... | bash,而 install.sh 执行 git clone 和 npm install。从原始 GitHub URL 下载并执行以及重新克隆远程仓库是更高风险的安装模式(在安装时执行远程代码)。虽然 GitHub 是一个已知主机,但这种模式允许安装程序运行可能与注册表捆绑包不同的任意远程代码。
ℹ 凭证需求
技能不需要声明环境变量,这与其目的相符。然而,它要求用户在消息中提供 App ID/App Secret 并将它们存储到 openclaw.json 中——这在功能上是必要的,但在隐私方面却不成比例,因为密钥是通过聊天处理的,并以明文配置持久化,没有关于安全存储的明确指导。
✓ 持久化与权限
技能不请求 always:true,不修改其他技能,只更新用户的 ~/.openclaw/openclaw.json 并创建每个代理的工作空间目录。它还通过 exec 重启本地 'openclaw gateway' 进程,这与声明的目的相符,但这是用户应该预期的具有系统影响的操作。
⚠ scripts/auto-configure-bot.js:172
检测到 Shell 命令执行 (child_process)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.22026/3/17
- 重大更新重构了技能,采用精简的代码库和配置流程。 - 新增:`CHANGELOG.md`、`package.json` 和新的 `scripts/auto-configure-bot.js` 自动化脚本。 - 移除:遗留脚本和冗余文档文件,以简化使用和维护。 - 重新制作:更新了 `README.md` 和 `SKILL.md`,反映新的自动配置方法、支持的 Agent 和现代文件组织。 - 安装:现在支持 Mac/Linux 和 Windows 的一键安装。 - 重点转向使用 openclaw.json 集成和更智能匹配的自动飞书机器人和 Agent 设置。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install feishu-bot-config-helper
镜像加速npx clawhub@latest install feishu-bot-config-helper --registry https://cn.clawhub-mirror.com
技能文档
版本: v1.0.0
类型: 飞书机器人自动配置
难度: ⭐⭐⭐⭐
📋 技能概述
在飞书对话中直接配置新机器人,自动完成 Agent 创建、工作空间配置、Gateway 重启。
🎯 核心能力
- ✅ 飞书机器人自动配置
- ✅ 智能 Agent 匹配(7 种规则)
- ✅ 自动更新 openclaw.json
- ✅ 自动重启 Gateway
- ✅ 返回配置报告
🚀 安装方式
Mac / Linux
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
Windows
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.bat -o install.bat
.\install.bat
🎭 Agent 阵容
| Agent | 职责 | 默认模型 |
|---|---|---|
| 第二大脑笔记虾 | 知识管理 + 素材提供 | doubao-pro |
| 朋友圈创作虾 | 朋友圈文案创作 | doubao |
| 电商视频导演虾 | 电商视频脚本 | doubao-pro |
| 通用内容创作虾 | 通用内容创作 | doubao |
| 图片素材生成虾 | 图片搜索 + 生成 | doubao-pro |
| 电商 Seedance 导演虾 | Seedance 提示词 | doubao-pro |
| 工作助手 | 工作相关任务 | doubao |
⚙️ 配置规范
严格遵循官方模板:
- 每个飞书机器人对应一个独立 Agent
- 拥有独立的工作空间和记忆
- 在
agents.list中定义 Agent
- 在
channels.feishu.accounts中配置机器人
- 在
bindings中添加路由绑定
- 使用
dmScope: "per-account-channel-peer"
- 群组策略使用
groupPolicy: "open"
📁 文件清单
feishu-bot-config-helper/
├── scripts/
│ └── auto-configure-bot.js # 自动配置脚本
├── index.js # 主入口
├── install.sh # Mac/Linux 安装脚本
├── install.bat # Windows 安装脚本
├── package.json # 项目配置
├── SKILL.md # 技能文档
├── README.md # 使用说明
├── CHANGELOG.md # 更新日志
└── LICENSE # MIT 许可证
🔗 相关资源
- GitHub: https://github.com/jiebao360/feishu-bot-config-helper
- OpenClaw 文档: https://docs.openclaw.ai
- 飞书开放平台: https://open.feishu.cn/
🦞 让龙虾成为你的飞书机器人配置助手!
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制