by 安全扫描
OpenClaw
可疑
medium confidence该技能在很大程度上符合其声明的目的(集成Volcengine模型),但包含文档/配置不一致性以及额外的侦察/抓取脚本,这扩大了其影响范围;在使用前,请验证API密钥处理、端点以及任何脚本。
评估建议
该技能实现了 Volcengine 提供商集成,并附带文档与示例,但使用前请复核:
- API 密钥:SKILL.md 及多处引用需 Volcengine API 密钥(设 VOLCANO_ENGINE_API_KEY 或用 openclaw onboard)。注册元数据未提及,需自行提供。切勿将密钥提交至版本控制。
- 端点校验:仓库 baseUrl 如 https://ark.cn-beijing.volces.com/api/v3(注意“volces”拼写)。发送凭据或跑测试前,先与 Volcengine 官方文档确认正确 API 主机名;拼写或异常主机可能意味着配置错误或非官方代理。
- 文档不一致:部分文件称密钥需“sk-”前缀,部分称不需要;以 Volcengine 控制台所示格式为准。
- 脚本与抓取工具:仓库含 Playwright/Node 抓取与提取脚本(scripts/recon/、extract_*.py、deep-extract.js),可自动浏览/抓取并对外发起网络请求。仅在你理解其功能并信任来源时运行;它们可能访问外部站点并外发数据。
...详细分析 ▾
ℹ 用途与能力
名称/描述与仓库内容一致:包含 Volcengine 的文档、模型列表及使用示例。然而,registry 元数据声明无需凭证,而 SKILL.md 及众多引用文件却明确要求 API key(VOLCANO_ENGINE_API_KEY / openclaw onboarding)。仓库还附带大量“侦察”与提取工具集(Playwright 脚本、deep-extract.js、extraction plans),这些对维护文档合理,但超出了最小运行时 provider 集成的范畴。
⚠ 指令范围
SKILL.md 指令本身仅限于配置 API key、向 openclaw.json 添加 provider、用 curl 测试以及设置 env var。SKILL.md 并未指示 agent 读取本地 secret 或任意文件。然而:(1) 仓库包含大量未被 SKILL.md 引用的脚本(playwright 侦察、提取、抓取方案),它们可自动进行网页抓取和无头浏览器操作——若用户运行,实际作用域会扩大;(2) 文档对 API key 格式描述不一(部分文件说“无需 sk- 前缀”,部分示例以 sk- 开头);(3) 全篇使用的 provider baseUrl 为 ark.cn-beijing.volces.com(注意是 volces 而非 volcengine)——该主机名看似非标准/可能拼写错误,使用前需验证。
✓ 安装机制
没有安装规范(每个注册表仅含指令型技能),因此平台不会自动下载或安装任何内容。仓库中确实包含脚本(Node/PowerShell),维护者或用户可手动运行;运行后会在本地写入磁盘并执行代码,但这是显式的用户操作,而非自动安装。
⚠ 凭证需求
该技能的实操需要 Volcengine 的 API key(在 SKILL.md 及多处引用中已说明),但注册元数据未声明任何必需环境变量或主凭证——此差异可能误导用户。所需密钥(API key)与服务商集成程度相称,但文档对密钥是否带 'sk-' 前缀说法不一。发送密钥前请校验 baseUrl/host;仓库统一使用 'ark.cn-beijing.volces.com',该地址非典型,需与 Volcengine 官方文档确认。
✓ 持久化与权限
技能标志为默认(always: false,允许 agent-invocable)。该技能未请求永久性的平台级常驻。没有证据表明该技能试图修改其他技能或全局 agent 设置。包含脚本本身不会改变平台权限;只有在用户执行时它们才会运行。
⚠ scripts/recon/deep-extract.js:143
检测到动态代码执行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
Volcengine 技能针对 OpenClaw 集成的初始版本发布。 - 启用配置和使用 Volcano Engine(Volcengine)模型,包括 Doubao、GLM、Kimi 和 DeepSeek 通过 OpenClaw。 - 提供 API 密钥获取和与交互式和手动配置选项集成的设置说明。 - 支持一般(文本、图像)和代码优化模型,具有单独的提供者和端点。 - 提供自定义模型别名、使用示例和高级配置(例如区域端点、环境变量)。 - 包括故障排除指南、成本管理提示和身份验证、错误处理和模型选择的最佳实践。
● 无害
安装命令
点击复制官方npx clawhub@latest install volcano-engine
镜像加速npx clawhub@latest install volcano-engine --registry https://cn.longxiaskill.com 镜像可用
技能文档
配置和使用 Volcano Engine(Volcengine)模型与 OpenClaw。该技能涵盖了通过 Volcengine 的 OpenAI 兼容 API 端点的通用和专用编码模型。
快速开始
1. 获取 API 密钥
- 在 Volcano Engine 控制台 注册
- 导航到 访问密钥管理
- 创建一个具有适当权限的新 API 密钥
- 复制 API 密钥(格式:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx,无需添加 sk- 前缀)
2. 配置 OpenClaw
交互式设置(推荐)
``bash
openclaw onboard --auth-choice volcengine-api-key
按照提示输入您的 API 密钥。 手动配置(openclaw.json)
在您的 openclaw.json 中添加:
json
{
"models": {
"mode": "merge",
"providers": {
"volcengine": {
"baseUrl": "https://ark.cn-beijing.volces.com/api/v3",
"api": "openai-completions",
"apiKey": "your-api-key-here",
"models": [
{
"id": "doubao-seed-1-8-251228",
"name": "Doubao Seed 1.8",
"reasoning": false,
"input": ["text", "image"],
"cost": {
"input": 0,
"output": 0
},
"contextWindow": 256000,
"maxTokens": 8192
},
{
"id": "glm-4-7-251222",
"name": "GLM 4.7",
"reasoning": false,
"input": ["text", "image"],
"cost": {
"input": 0,
"output": 0
},
"contextWindow": 200000,
"maxTokens": 8192
}
]
},
"volcengine-plan": {
"baseUrl": "https://ark.cn-beijing.volces.com/api/coding/v3",
"api": "openai-completions",
"apiKey": "your-api-key-here",
"models": [
{
"id": "ark-code-latest",
"name": "Ark Coding Plan",
"reasoning": false,
"input": ["text"],
"cost": {
"input": 0,
"output": 0
},
"contextWindow": 256000,
"maxTokens": 8192
}
]
}
}
}
}
### 3. 设置模型别名(可选)
为了更容易访问,添加别名到 agents.defaults.models:
json
{
"agents": {
"defaults": {
"models": {
"volcengine/doubao-seed-1-8-251228": {
"alias": "Doubao"
},
"volcengine-plan/ark-code-latest": {
"alias": "ArkCode"
},
"volcengine/glm-4-7-251222": {
"alias": "GLM4"
}
}
}
}
}
## 可用模型
通用模型(volcengine 提供程序)
| 模型 ID | 名称 | 输入 | 上下文 | 描述 |
|----------|------|-------|---------|-------------|
| doubao-seed-1-8-251228 | Doubao Seed 1.8 | 文本、图像 | 256,000 | 字节跳动的旗舰模型 |
| doubao-seed-code-preview-251028 | Doubao Seed Code Preview | 文本、图像 | 256,000 | 代码专注预览 |
| kimi-k2-5-260127 | Kimi K2.5 | 文本、图像 | 256,000 | Moonshot AI 的模型 |
| glm-4-7-251222 | GLM 4.7 | 文本、图像 | 200,000 | Zhipu AI 的模型 |
| deepseek-v3-2-251201 | DeepSeek V3.2 | 文本、图像 | 128,000 | DeepSeek 的模型 | 编码模型(volcengine-plan 提供程序)
| 模型 ID | 名称 | 输入 | 上下文 | 描述 |
|----------|------|-------|---------|-------------|
| ark-code-latest | Ark Coding Plan | 文本 | 256,000 | 优化的编码任务 |
| doubao-seed-code | Doubao Seed Code | 文本 | 256,000 | 字节跳动的编码模型 |
| glm-4.7 | GLM 4.7 编码 | 文本 | 200,000 | Zhipu 的编码模型 |
| kimi-k2-thinking | Kimi K2 思维 | 文本 | 256,000 | Moonshot 的推理模型 |
| kimi-k2.5 | Kimi K2.5 编码 | 文本 | 256,000 | Moonshot 的编码模型 | 使用示例
通过 CLI 使用
bash
# 使用 Doubao 模型
openclaw --model Doubao "你好,总结这段文本"
# 使用 Ark Code 进行编程
openclaw --model ArkCode "编写一个 Python 函数来排序列表"
# 使用完整模型引用
openclaw --model volcengine/doubao-seed-1-8-251228 "解释量子计算"
### 设置默认模型
bash
# 设置 Doubao 为默认
openclaw configure --set agents.defaults.model.primary volcengine/doubao-seed-1-8-251228
# 设置 Ark Code 为默认的编码任务
openclaw configure --set agents.defaults.model.primary volcengine-plan/ark-code-latest
## 高级配置
环境变量
为了更好的安全性,使用环境变量:
bash
# 在您的 shell 配置文件中设置
export VOLCANO_ENGINE_API_KEY=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
# 火山引擎密钥无需添加 sk- 前缀
# 在配置中引用
"apiKey": "VOLCANO_ENGINE_API_KEY"
``