📦 WeCom Connect — 连接企业微信
v1.0.0连接企业微信。调用 generate 接口获取授权链接,用户把链接发到企业微信聊天里点开完成授权。用户提到连接企业微信、接入企微、绑定企微机器人、创建企微机器人、扫码绑定企微时使用。
0· 332·2 当前·2 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的运行时指令与其声明的用途(连接企业微信)相符,但执行了特权本地操作(写入 OpenClaw 配置、存储机器人密钥、重启网关),这些操作未在元数据中声明,因此存在用户安装前应了解的不一致性和风险面。
评估建议
该技能实现了其声称的功能(创建 work.weixin.qq.com 授权链接并绑定企微机器人),但它会:(1) 将 botId 和机器人密钥以明文写入你的 OpenClaw 配置文件(~/.openclaw/openclaw.json),(2) 运行 `openclaw gateway restart`。安装或调用前,请验证:• 你信任该技能/来源(未提供主页或发布者信息);• 你已安装 curl 和 openclaw CLI 并了解 `openclaw gateway restart` 在你的环境中的作用;• 备份 ~/.openclaw/openclaw.json 以便恢复之前的设置;• 你可以接受将机器人密钥存储在该文件中(敏感信息);• 调用 的端点(work.weixin.qq.com/ai/qc/...)符合你组织预期。建议询问发布者更新元数据以声明所需配置路径,并明确说明该技能将写入密钥和重启网关。如果不确定,请手动执行流程(自行运行 generate/query 端点并在验证输出后更新配置),而不是授予自动化代理修改文件和重启服务的权限。...详细分析 ▾
⚠ 用途与能力
技能描述的用途(连接企业微信/绑定企微机器人)与调用 work.weixin.qq.com 端点和获取机器人凭证相符。但元数据未声明所需的配置路径或凭证,而指令明确写入 ~/.openclaw/openclaw.json 并重启 OpenClaw 网关。元数据遗漏是一个不一致之处:技能需要访问用户的 OpenClaw 配置和重启服务的能力,但未声明这一点。
⚠ 指令范围
SKILL.md 提供了明确的运行时命令:两次 curl 请求官方 work.weixin.qq.com 端点(generate 和 query_result),提取 scode/auth_url,等待用户确认,然后轮询并在成功时将 botId 和密钥写入 ~/.openclaw/openclaw.json 并运行 `openclaw gateway restart`。网络调用与用途一致,但文件写入和服务重启是超出简单 OAuth 流程的系统修改操作,未在技能元数据中反映。
✓ 安装机制
纯指令技能,无安装规范和代码文件——安装风险最低。指令假设 curl 和 openclaw CLI 可用,但除描述的命令外不会下载或执行任何内容。
ℹ 凭证需求
技能在元数据中未请求环境变量或凭证,这与使用带外授权链接一致。然而运行时将机器人密钥和 botId 以明文存储到用户的 OpenClaw 配置中,并未声明它会处理密钥。将凭证存储到 ~/.openclaw/openclaw.json 是敏感操作,应在元数据中明确说明。
⚠ 持久化与权限
always:false(良好),但技能指示写入持久配置并重启系统的 OpenClaw 网关。这些是影响代理运行时的特权持久操作,应该被声明——元数据未指示此权限级别或涉及的配置路径。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/21
首次发布
● 无害
安装命令
点击复制官方npx clawhub@latest install wecom-connect
镜像加速npx clawhub@latest install wecom-connect --registry https://cn.longxiaskill.com
技能文档
适用场景
当用户要求连接企业微信、绑定企微机器人、创建新的企微机器人、给 OpenClaw 接入企业微信、或明确提到"扫码绑定企微"时,直接使用本流程。核心原则
- 不生成 PNG,不走 CDN。generate 拿到
auth_url后直接给用户,用户把链接发到企业微信聊天里点开完成授权。 - 不要自动开轮询。给完链接等用户说"配好了"再轮询。
- 不要手动卸载/禁用插件。
执行流程(写死,照抄执行)
第 1 步:调用 generate 接口
curl -s "https://work.weixin.qq.com/ai/qc/generate?source=wecom-cli&plat=3"
scode 和 auth_url。scode 留着后面轮询用,auth_url 直接给用户。第 2 步:把 auth_url 给用户,等用户回复
## 企业微信二维码复制下面的链接,发到你的企业微信任意聊天里,然后点击打开:
操作步骤:
- 打开手机上的 企业微信 App(不是微信)
- 随便找一个聊天对话框,把上面的链接通过发消息的方式发过去
- 点击消息里的链接,在企业微信内打开
- 在页面中完成授权确认
- 配置完成后告诉我
有效期:3 分钟
然后停下来,等用户说"配好了"。
用户确认后:轮询 + 写配置
用户说"配好了 / 扫完了 / done / ok"后:
curl -s "https://work.weixin.qq.com/ai/qc/query_result?scode="
轮询间隔 3 秒,超时 3 分钟。成功条件:data.status === 'success' 且 data.bot_info.botid 和 data.bot_info.secret 存在。
拿到后写入 ~/.openclaw/openclaw.json:
channels.wecom.botId =
channels.wecom.secret =
channels.wecom.enabled = true
然后 openclaw gateway restart。
超时则重新走第 1~2 步。
成功回复模板
## 企业微信连接结果- 状态:已绑定成功
- 机器人凭证:已获取(botId:
- OpenClaw 配置:已写入
- Gateway:已重启
绝对禁止
- 禁止生成 PNG / 走 CDN / Batch Upload:直接给 auth_url 链接。
- 禁止自动开轮询:等用户说"配好了"。
- 禁止手动卸载/禁用插件。
一句话总结
generate → 给用户链接 → 用户发到企业微信聊天里点开授权 → 等用户说"配好了" → 轮询 → 写配置。