by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与飞书提及响应器功能匹配,但未明确说明所需的凭证和配置位置,因此存在不一致的需求面,建议在安装前进行验证。
评估建议
该技能是一个纯指令型飞书提及响应器,整体看起来是连贯的,但缺少明确的凭证/配置声明。安装前需确认:您的OpenClaw环境是否已有可信的飞书连接器(以及Bot ID/令牌的存储位置);如果没有,请要求技能作者明确指定所需的环境变量或配置路径(例如FEISHU_APP_ID、FEISHU_APP_SECRET、BOT_ID或平台范围的令牌)。确保机器人仅具有最小权限(im:message:send_as_bot、im:chat:read),并实施防护措施防止回复循环和大规模自动回复(速率限制、白名单/黑名单、忽略来自其他机器人的消息)。同时验证平台的message({})工具仅限于向声明的群聊发送消息,不能用于向外部端点泄露数据。如果需要更强的隔离,请禁用此技能的自动调用,或要求在发送回复前获得明确的用户同意。...详细分析 ▾
⚠ 用途与能力
该技能声称作为飞书群提及响应器运行,并描述了所需的权限和Bot/App标识符(例如im:message:send_as_bot、im:chat:read、Bot ID/App ID)。然而,技能元数据未声明所需的环境变量、凭证或配置路径。这种不匹配是意外的,除非平台(OpenClaw)已经提供了内置的飞书连接器;SKILL.md并未明确说明这一点。
✓ 指令范围
运行时指令范围狭窄,仅限于监听消息、检测提及、构建@原发送者的回复,并使用平台的message工具发送回回复。指令确实警告了回复循环和权限问题。它们不请求访问无关文件、系统路径或其他凭证。
✓ 安装机制
这是一个纯指令型技能,没有安装规范和代码文件,因此具有最小的安装面,不会自行写入任何内容到磁盘。
⚠ 凭证需求
虽然SKILL.md提到了所需的飞书权限以及需要知道机器人的ID,但该技能未声明环境变量或主要凭证。实际上,这类集成通常需要飞书应用凭证(app ID/secret、机器人令牌)或平台提供的连接器配置;这种遗漏是一个比例/文档方面的差距,应该在信任该技能之前予以解决。
✓ 持久化与权限
该技能未请求always:true,未更改其他技能的配置,并且可由用户调用并允许自动调用(平台默认设置)。没有迹象表明它需要在正常运行时使用之外具有更高的持久存在。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/12
初始发布:对飞书群中的@提及进行自动回复。
● 无害
安装命令 点击复制
官方npx clawhub@latest install feishu-group-mention-responder
镜像加速npx clawhub@latest install feishu-group-mention-responder --registry https://cn.clawhub-mirror.com
技能文档
概述
此技能旨在使 Antigravity 能够在飞书群聊中对其被@提及的消息或直接发送给它的消息进行自动响应。这提高了机器人在群聊中的参与度和用户体验。
何时使用
当用户希望 Antigravity 在飞书群聊中对@提及做出回应时。 当用户需要 Antigravity 能够识别其在群聊中的身份并进行交互时。
核心原则
识别提及: 代理必须能够从传入的飞书消息中准确识别出对其自身的@提及。 上下文感知: 虽然初始回复可以是通用的,但未来可以扩展为根据消息内容提供更具体的帮助。 不重复回复: 避免对非提及消息或已被处理的消息进行重复回复。
技能实现细节
该技能将通过以下步骤实现:
- 消息监听: OpenClaw 框架将负责监听飞书群聊中的消息。
- 提及检测: 在接收到的消息内容中,通过解析或预处理机制检测是否存在
@机器人ID或@机器人名称的提及。 - 提取发送者信息: 获取@提及消息的发送者 ID 和昵称,以便在回复中@回该用户。
- 构建回复: 生成一个包含适当问候语和可能的问题(例如:“您好!有什么我可以帮您的吗?”)的中文回复。回复中将@回原发送者。
- 发送回复: 使用
message工具将回复消息发送回原始群聊。
预期消息结构 (OpenClaw -> Agent)
飞书消息事件通常会包含以下信息(OpenClaw 可能会进行预处理):
{
"channel": "feishu",
"chat_type": "group", // "p2p" for direct messages
"chat_id": "oc_xxxxxx", // Group chat ID
"sender_id": "ou_xxxxxx", // Sender user ID
"sender_name": "用户昵称",
"message_id": "om_xxxxxx",
"content": "您好 @Bot名称,请问...",
"mentions": [ // If OpenClaw processes mentions
{
"user_id": "ou_bot_xxxxxx",
"user_name": "Bot名称"
}
]
}
回复逻辑
在 _process_message 函数或其他适当的消息处理逻辑中,检查 message.mentions 数组或 message.content 是否包含对当前代理的提及。
发送回复的工具调用示例:
message({
action: "send",
channel: "feishu",
to: "oc_xxxxxx", // 原始群聊ID
message: "您好 @[ou_xxxxxx]!有什么可以帮您的吗?", // @提及原始发送者
# 如果 OpenClaw 提供了 reply_to_message_id,可以使用它来回复特定消息
# reply_to: "om_xxxxxx"
})
常见错误与注意事项
权限不足: 确保飞书应用拥有 im:message:send_as_bot 和 im:chat:read 权限。
机器人 ID / 名称识别: 代理需要知道它在飞书系统中的唯一标识符(Bot ID 或 App ID)或其配置的名称,以便准确识别提及。
循环回复: 避免在回复中无意中再次触发提及,导致无限循环。
群聊 ID 获取: 确保能正确获取到发送消息的群聊 ID。
提及格式: 飞书的@提及格式可能因 API 版本和消息类型而异,需要适配。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制