📦 Follow Builders Sidecar — 调度接管侧车
v1.0.9OpenClaw 专属侧车技能,用于接管原 follow-builders 技能的调度和推送功能。无需修改上游技能即可接管定时任务、配置摘要推送、查看接管状态或回滚到原始 cron。
1· 35·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence该包与其描述一致:使用 node/python/openclaw 接管原 follow-builders 技能的调度和推送,其文件、命令和外部端点均与此目的相符。
评估建议
此侧车似乎能实现其功能,但在安装前请审查并考虑以下事项:- 它将禁用原始 follow-builders cron 并创建每小时运行的侧车 cron。如需恢复请备份原始配置/cron。- 如果选择「复用 OpenClaw 账户」模式,脚本将调用 openclaw CLI 读取已配置的飞书账户——这意味着侧车可以读取您 OpenClaw 配置中存储的任何飞书凭据。如不想暴露这些,请使用「direct_credentials」并提供 appId/appSecret/chatId(将本地存储在 ~/.follow-builders-sidecar/credentials.json)。- 侧车会连接外部端点(GitHub 原始文件、GitHub API、publish.twitter.com oEmbed、播客 RSS 订阅源、unavatar.io 和飞书 API)以获取订阅源、提示词、头像和发送消息——请确认您对这些网络调用感到满意。- 存在试运行选项(node scripts/run-sidecar.js --skip-delivery)——可先使用它验证行为而不发送消息。- 该包包含大...详细分析 ▾
✓ 用途与能力
名称/描述与请求的能力匹配。脚本需要 node、python3,并调用 openclaw CLI(用于检查/禁用/创建 cron 和复用已配置的账户)。读取 ~/.follow-builders/config.json 和写入 ~/.follow-builders-sidecar/* 与声明的一次性导入和侧车状态所有权一致。
✓ 指令范围
SKILL.md 指示代理运行特定的 node 脚本(setup/configure/status/rollback/run-sidecar)并记录侧车读取/写入的确切文件路径。指令和脚本行为保持在描述的目标范围内(接管、构建摘要、通过 OpenClaw 或飞书推送)。它明确记录了网络调用(GitHub、Twitter oEmbed、播客 RSS、unavatar、飞书 API),这些是获取订阅源、提示词、头像和发送卡片所需的。
✓ 安装机制
没有注册表安装规范(仅限指令),捆绑的代码依赖于 package.json/package-lock.json 中声明的 npm 依赖(dotenv、proper-lockfile)。提供的仓库元数据中没有远程任意下载/安装 URL 或提取步骤。
ℹ 凭证需求
该技能不请求环境变量,这是相称的。然而,它确实执行 openclaw CLI 来读取 OpenClaw 配置(包括飞书账户),因此可能访问用户 OpenClaw 配置中存储的密钥;如果用户选择「复用 OpenClaw 账户」推送模式,这是预期的。在直接飞书模式下,它会将 appId/appSecret/chatId 本地存储在 ~/.follow-builders-sidecar/credentials.json。这些行为由推送模式证明是合理的,但意识到它们很重要。
ℹ 持久化与权限
always:false 和 user-invocable 是合适的。侧车故意通过禁用原始 cron 并创建自己的 cron 来修改另一个技能的运行时——这是声明的目的(接管)。用户应该意识到该技能会更改原始 follow-builders 任务状态(它记录原始任务 id、禁用它,并创建新的每小时 cron)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.92026/4/16
新增双飞书推送模式,支持 OpenClaw 账户复用和本地直接凭据。
● 可疑
安装命令
点击复制官方npx clawhub@latest install follow-builders-sidecar
镜像加速npx clawhub@latest install follow-builders-sidecar --registry https://cn.longxiaskill.com镜像同步中
技能文档
此技能是原 follow-builders 技能的外部推送/调度层。它不会修补上游仓库。它仅:
- 一次性导入原始配置
- 禁用原始摘要 cron
- 创建并拥有自己的每小时 cron
- 检查上游订阅源提交
- 构建摘要
- 通过 OpenClaw 或飞书卡片推送
运行时要求
此技能需要:
node用于所有侧车脚本python3用于头像圆形裁剪openclaw用于 cron 检查、任务接管和消息推送
它在正常操作期间也会读写本地文件:
- 在接管期间一次性读取
~/.follow-builders/config.json - 写入
~/.follow-builders-sidecar/config.json - 写入
~/.follow-builders-sidecar/state.json - 可选写入
~/.follow-builders-sidecar/credentials.json用于本地独立的飞书应用凭据 - 当启用飞书卡片推送时可复用 OpenClaw 配置的飞书账户设置
何时使用此技能
在用户要求以下操作时使用此技能:
- 安装或接管原始
follow-builders - 将摘要推送切换到侧车流程
- 配置时区/语言/每日或每周/推送方式
- 检查接管是否成功
- 禁用侧车并可选恢复原始 cron
主要命令
接管 / 设置
在运行设置之前,询问用户想要哪种飞书卡片模式:
- 复用现有 OpenClaw 飞书账户
- 为此侧车配置本地独立飞书应用
如果用户选择直接飞书应用模式,请收集:
appIdappSecretchatId- 可选
domain(默认为feishu,需要时为lark)
运行:
node scripts/sidecar-setup.js
可选标志:
--driver openclaw_announce|feishu_card--channel--to--account--feishu-mode openclaw_account|direct_credentials--feishu-account--feishu-chat-id--feishu-app-id--feishu-app-secret--feishu-domain feishu|lark--avatar-fallback-account
配置
运行:
node scripts/sidecar-configure.js ...
常用标志:
--language zh|en|bilingual--timezone--frequency daily|weekly--weekly-day monday|...|sunday--driver openclaw_announce|feishu_card--channel--to--account--feishu-mode openclaw_account|direct_credentials--feishu-account--feishu-chat-id--feishu-app-id--feishu-app-secret--feishu-domain feishu|lark
重要提示:
- 接管后,配置归属侧车。
- 不要告诉用户继续更改原始技能的推送时间。
- 如果用户想要不同的触发窗口,告诉他们直接编辑侧车 cron 本身。
状态
运行:
node scripts/sidecar-status.js
回滚
运行:
node scripts/sidecar-rollback.js --reenable-original
仅在用户明确希望恢复原始 cron 时使用 --reenable-original。
手动测试运行
要测试管道而不发送任何内容:
node scripts/run-sidecar.js --skip-delivery
推送规则
- 默认推送方式是
openclaw_announce - 可选推送方式是
feishu_card - 飞书卡片模式支持:
openclaw_account:复用已在 OpenClaw 中配置的飞书应用
- direct_credentials:为此侧车本地存储独立的飞书 appId/appSecret/chatId
- 订阅源新鲜度基于上游 GitHub 提交时间
- 仅当天本地日期的提交有效
daily:每个本地日一次成功发送weekly:仅在配置的星期几,每周一次成功发送
上游兼容性规则
上游 follow-builders 技能可能会演进,超出当前三个订阅源。使用此侧车时,始终将上游演进作为首要考虑:
- 在更改侧车兼容性逻辑之前,检查上游
SKILL.md。 - 检查上游仓库根目录下的所有
feed-*.json文件,而不仅仅是:
feed-x.json
- feed-podcasts.json
- feed-blogs.json
- 如果出现新的上游订阅源,不要静默忽略它。
- 首先确定新订阅源是否可以由以下方式处理:
- 如果侧车无法安全解释新订阅源架构,请明确向用户说明这一限制,而不是假装什么都没改变。
设计意图:
SKILL.md用于代理/操作员理解- 代码级适配器/注册表逻辑用于运行时兼容性
不要仅依赖文档来获取运行时支持。SKILL.md 中的注释帮助代理理解要检查的内容,但对新订阅源的真正支持仍需要代码或架构级兼容性逻辑。
外部端点
侧车可能连接以下外部服务:
https://api.github.com/用于发现上游订阅源文件和最新的相关提交https://raw.githubusercontent.com/用于加载上游订阅源 JSON 和提示词https://publish.twitter.com/oembed用于展开引用的推文config/default-sources.json中声明的播客 RSS 主机用于修复剧集链接https://unavatar.io/用于获取公共头像图片- 当启用飞书卡片推送时,使用
https://open.feishu.cn/open-apis/或https://open.larksuite.com/open-apis/
安全和隐私
- 侧车不会修改上游
follow-builders仓库。 - 侧车不会将本地文件发送到任意第三方端点。
- OpenClaw 和飞书路由仅用于推送用户要求的摘要。
- 直接飞书应用凭据(如果配置)保留在
~/.follow-builders-sidecar/credentials.json中,不打算存储在仓库中。 - 侧车自己的本地状态位于
~/.follow-builders-sidecar/下。
信任声明
安装此技能意味着允许它一次性读取用户的本地 follow-builders 配置、调用上游公共订阅源、复用 OpenClaw 配置的推送账户或可选的本地独立飞书凭据,并可选地将摘要数据发送到 OpenClaw 或飞书。仅在您信任该行为时才安装它。
安全规则
- 正常操作期间绝不修改原始
follow-builders仓库 - 除非用户要求回滚,否则绝不静默重新启用原始 cron
- 如果在运行时发现原始 cron 再次被启用,禁用它并保持侧车为真实来源