📦 Wechat Md Publisher Skill — 微信公众号 Markdown 发布工具

v1.0.6

发布 Markdown 文章到微信公众号，支持草稿管理、多主题、智能图片处理、自动封面图。推荐与 news-to-markdown-skill 配合使用实现一键转载（支持本地图片）。

0· 687·2 当前·2 累计

by @sipingme (PING SI)·MIT-0

文档工具 AI模型访问自动化开发工具

下载技能包

License

MIT-0

最后更新

2026/4/11

安全扫描

VirusTotal

可疑

查看报告

OpenClaw

安全

medium confidence

该技能的要求和运行行为与其声明的目的（发布 Markdown 到微信）一致，但依赖动态执行上游 npm 包（npx），引入供应链风险，建议使用前审计。

评估建议

该技能似乎做了它声称的（发布 Markdown 到微信）并且只请求必要的微信凭证，但动态运行上游 npm 包。使用前请：1) 审查上游仓库（特别是凭证存储/加密代码）；2) 避免在 CLI 上传递 AppSecret；3) 避免添加不受信任的远程主题端点；4) 考虑在隔离环境中运行并固定包版本；5) 测试后旋转 AppSecret。...

详细分析 ▾

✓ 用途与能力

技能名称/描述与声明的权限和文件匹配：读取 .md 和本地图片，写入本地配置文件夹，调用微信 API 域。可选环境变量（WECHAT_APP_ID、WECHAT_APP_SECRET）适合并足够满足描述的功能。

ℹ 指令范围

SKILL.md 限制运行时动作为通过 npx 调用 wechat-md-publisher 包，读取 Markdown 和图像文件，交互微信 API。它明确警告通过 CLI 传递机密信息和关于远程主题端点。没有指令读取无关文件或窃取数据，但技能委托凭证处理和一些行为给上游 npm 包（见安全说明）。

⚠ 安装机制

该技能使用 npx 动态从公共 npm 注册表获取和执行 wechat-md-publisher。适合任务但带来供应链风险（运行时执行远程代码）。SKILL.md/config 指向 GitHub 仓库并提供审计链接，这如果被审查则降低风险，但动态 npx 执行仍是主要风险因素。

✓ 凭证需求

仅请求微信凭证（在技能元数据中标记为可选）。技能将凭证存储在本地配置路径，声称由上游包处理 AES-256 加密；技能不请求无关机密或系统凭证。

✓ 持久化与权限

该技能不是强制始终运行；它是用户可调用且可能被自主调用（正常）。它仅写入自己的配置路径（~/.config/wechat-md-publisher-nodejs/）并不请求系统范围权限或修改其他技能的配置。

⚠ scripts/run.js:17

检测到 Shell 命令执行（child_process）

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.62026/3/19

版本同步

● 可疑

安装命令

点击复制

官方npx clawhub@latest install wechat-md-publisher-skill

镜像加速npx clawhub@latest install wechat-md-publisher-skill --registry https://cn.longxiaskill.com

技能文档

请查看翻译后的 SKILL.md 内容（由于字符限制，以下仅提供部分，完整内容请参考原文）...

# 微信发布工具...

重要提示：...

快速开始：...

何时使用此技能：...

前置要求：...

标准操作流程：...

高级用法：...

输入输出规范：...

常见问题：...

安全性说明：...

维护说明：...

首次成功检查清单：...

与其他技能配合使用：...

更多组合可能：...

数据来源：ClawHub ↗ · 中文优化：龙虾技能库