by 安全扫描
OpenClaw
可疑
medium confidence该技能基本符合其宣称用途(集成 Volcengine 模型),但文档/配置存在不一致,并附带额外的侦察/抓取脚本,扩大了其影响范围;使用前请核查 API key 处理、端点及所有脚本。
评估建议
该技能实现了 Volcengine 提供商集成,并附带文档与示例,但使用前请复核:
- API 密钥:SKILL.md 及多处引用需 Volcengine API 密钥(设 VOLCANO_ENGINE_API_KEY 或用 openclaw onboard)。注册元数据未提及,需自行提供。切勿将密钥提交至版本控制。
- 端点校验:仓库 baseUrl 如 https://ark.cn-beijing.volces.com/api/v3(注意“volces”拼写)。发送凭据或跑测试前,先与 Volcengine 官方文档确认正确 API 主机名;拼写或异常主机可能意味着配置错误或非官方代理。
- 文档不一致:部分文件称密钥需“sk-”前缀,部分称不需要;以 Volcengine 控制台所示格式为准。
- 脚本与抓取工具:仓库含 Playwright/Node 抓取与提取脚本(scripts/recon/、extract_*.py、deep-extract.js),可自动浏览/抓取并对外发起网络请求。仅在你理解其功能并信任来源时运行;它们可能访问外部站点并外发数据。
...详细分析 ▾
ℹ 用途与能力
名称/描述与仓库内容一致:包含 Volcengine 的文档、模型列表及使用示例。然而,registry 元数据声明无需凭证,而 SKILL.md 及众多引用文件却明确要求 API key(VOLCANO_ENGINE_API_KEY / openclaw onboarding)。仓库还附带大量“侦察”与提取工具集(Playwright 脚本、deep-extract.js、extraction plans),这些对维护文档合理,但超出了最小运行时 provider 集成的范畴。
⚠ 指令范围
SKILL.md 指令本身仅限于配置 API key、向 openclaw.json 添加 provider、用 curl 测试以及设置 env var。SKILL.md 并未指示 agent 读取本地 secret 或任意文件。然而:(1) 仓库包含大量未被 SKILL.md 引用的脚本(playwright 侦察、提取、抓取方案),它们可自动进行网页抓取和无头浏览器操作——若用户运行,实际作用域会扩大;(2) 文档对 API key 格式描述不一(部分文件说“无需 sk- 前缀”,部分示例以 sk- 开头);(3) 全篇使用的 provider baseUrl 为 ark.cn-beijing.volces.com(注意是 volces 而非 volcengine)——该主机名看似非标准/可能拼写错误,使用前需验证。
✓ 安装机制
没有安装规范(每个注册表仅含指令型技能),因此平台不会自动下载或安装任何内容。仓库中确实包含脚本(Node/PowerShell),维护者或用户可手动运行;运行后会在本地写入磁盘并执行代码,但这是显式的用户操作,而非自动安装。
⚠ 凭证需求
该技能的实操需要 Volcengine 的 API key(在 SKILL.md 及多处引用中已说明),但注册元数据未声明任何必需环境变量或主凭证——此差异可能误导用户。所需密钥(API key)与服务商集成程度相称,但文档对密钥是否带 'sk-' 前缀说法不一。发送密钥前请校验 baseUrl/host;仓库统一使用 'ark.cn-beijing.volces.com',该地址非典型,需与 Volcengine 官方文档确认。
✓ 持久化与权限
技能标志为默认(always: false,允许 agent-invocable)。该技能未请求永久性的平台级常驻。没有证据表明该技能试图修改其他技能或全局 agent 设置。包含脚本本身不会改变平台权限;只有在用户执行时它们才会运行。
⚠ scripts/recon/deep-extract.js:143
检测到动态代码执行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
OpenClaw 集成 volcengine skill 的首发版本。 - 支持通过 OpenClaw 配置并使用 Volcano Engine(Volcengine)模型,包括 Doubao、GLM、Kimi、DeepSeek。 - 提供 API 密钥获取与集成步骤,支持交互式与手动两种配置方式。 - 通用(文本、图像)与代码优化模型分 Provider、分 Endpoint 支持。 - 可自定义模型别名,附带使用示例及高级配置(区域 Endpoint、环境变量等)。 - 含故障排查指引、成本管理建议,以及认证、错误处理、模型选择的最佳实践。
● 无害
安装命令
点击复制官方npx clawhub@latest install volcano-engine
镜像加速npx clawhub@latest install volcano-engine --registry https://cn.longxiaskill.com
技能文档
通过 OpenClaw 配置并使用火山引擎模型。本技能涵盖通用模型与专用编程模型,均通过 Volcengine 的 OpenAI 兼容 API 端点访问。
快速开始
1. 获取 API Key
- 在火山引擎控制台注册
- 进入 Access Key Management
- 创建具备相应权限的新 API key
- 复制 API key(格式:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx,无需添加 sk- 前缀)
2. 配置 OpenClaw
交互式配置(推荐)
``bash
openclaw onboard --auth-choice volcengine-api-key
`
按提示输入 API key。 手动配置(openclaw.json)
在 openclaw.json 中添加:
`json
{
"models": {
"mode": "merge",
"providers": {
"volcengine": {
"baseUrl": "https://ark.cn-beijing.volces.com/api/v3",
"api": "openai-completions",
"apiKey": "your-api-key-here",
"models": [
{
"id": "doubao-seed-1-8-251228",
"name": "Doubao Seed 1.8",
"reasoning": false,
"input": ["text", "image"],
"cost": { "input": 0, "output": 0 },
"contextWindow": 256000,
"maxTokens": 8192
},
{
"id": "glm-4-7-251222",
"name": "GLM 4.7",
"reasoning": false,
"input": ["text", "image"],
"cost": { "input": 0, "output": 0 },
"contextWindow": 200000,
"maxTokens": 8192
}
]
},
"volcengine-plan": {
"baseUrl": "https://ark.cn-beijing.volces.com/api/coding/v3",
"api": "openai-completions",
"apiKey": "your-api-key-here",
"models": [
{
"id": "ark-code-latest",
"name": "Ark Coding Plan",
"reasoning": false,
"input": ["text"],
"cost": { "input": 0, "output": 0 },
"contextWindow": 256000,
"maxTokens": 8192
}
]
}
}
}
}
` 3. 设置模型别名(可选)
在 agents.defaults.models 中添加别名:
`json
{
"agents": {
"defaults": {
"models": {
"volcengine/doubao-seed-1-8-251228": { "alias": "Doubao" },
"volcengine-plan/ark-code-latest": { "alias": "ArkCode" },
"volcengine/glm-4-7-251222": { "alias": "GLM4" }
}
}
}
}
` 可用模型
通用模型(volcengine 提供者)
| Model ID | Name | Input | Context | Description |
|----------|------|-------|---------|-------------|
| doubao-seed-1-8-251228 | Doubao Seed 1.8 | text, image | 256,000 | 字节跳动旗舰模型 |
| doubao-seed-code-preview-251028 | Doubao Seed Code Preview | text, image | 256,000 | 代码预览版 |
| kimi-k2-5-260127 | Kimi K2.5 | text, image | 256,000 | 月之暗面模型 |
| glm-4-7-251222 | GLM 4.7 | text, image | 200,000 | 智谱 AI 模型 |
| deepseek-v3-2-251201 | DeepSeek V3.2 | text, image | 128,000 | DeepSeek 模型 | 编程模型(volcengine-plan 提供者)
| Model ID | Name | Input | Context | Description |
|----------|------|-------|---------|-------------|
| ark-code-latest | Ark Coding Plan | text | 256,000 | 编程优化 |
| doubao-seed-code | Doubao Seed Code | text | 256,000 | 字节跳动编程模型 |
| glm-4.7 | GLM 4.7 Coding | text | 200,000 | 智谱编程模型 |
| kimi-k2-thinking | Kimi K2 Thinking | text | 256,000 | 月之暗面推理模型 |
| kimi-k2.5 | Kimi K2.5 Coding | text | 256,000 | 月之暗面编程模型 | 使用示例
CLI 调用
`bash
# 使用 Doubao
openclaw --model Doubao "Hello, summarize this text" # 使用 Ark Code 编程
openclaw --model ArkCode "Write a Python function to sort a list"
# 使用完整模型路径
openclaw --model volcengine/doubao-seed-1-8-251228 "Explain quantum computing"
`
设置默认模型
`bash
# 设 Doubao 为默认
openclaw configure --set agents.defaults.model.primary volcengine/doubao-seed-1-8-251228 # 设 Ark Code 为编程默认
openclaw configure --set agents.defaults.model.primary volcengine-plan/ark-code-latest
`
高级配置
环境变量
为安全起见,使用环境变量:
`bash
# 写入 shell 配置
export VOLCANO_ENGINE_API_KEY=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx # 无需 sk- 前缀 # 在配置中引用
"apiKey": "VOLCANO_ENGINE_API_KEY"
``