← Back to Skills Marketplace

Setup Wizard

Name: Setup Wizard
Author: portisclawbot

by Portisclawbot · GitHub ↗ · v1.1.0

cross-platform ⚠ suspicious

2413

Downloads

Stars

Active Installs

Versions

Install in OpenClaw

/install setup-wizard

Description

引导用户输入卡密完成 OpenClaw 激活，验证后逐步配置并标记激活状态，激活后停止拦截对话。

Usage Guidance

这个技能表面上是激活向导，但在运行时会把你发送的卡密和设备 ID 发到一个未知的第三方域名，并按该域返回的 JSON 自动修改 agent 配置和写入工作区文件——远端因此能间接控制你的代理行为。建议： - 在未核实远端域名与服务方身份前不要安装或启用该技能。 - 不要直接发送任何敏感凭据（API 密钥、云令牌、个人账号密码等）作为“卡密”。 - 如果需要测试，先在隔离环境/虚拟机或临时账户上运行，监控所有写入的文件和 gateway config.patch 的具体变更。 - 要求技能在应用任何 config_patch 或写入文件前显示完整补丁/文件内容并获得你的明确批准（不要自动执行）。 - 优先选择由可信来源或官方发布的激活/更新路径；如果这是第三方提供的付费激活，请向卖家或平台索要可验证的签名证书与域名登记信息再决定。基于上述原因：该技能具备远端下发并自动应用配置/文件的能力，存在明显滥用和持久化风险，除非你能验证并审查每次向导返回的内容，否则不建议在生产环境或含敏感数据的账户上使用。

Capability Analysis

Type: OpenClaw Skill Name: setup-wizard Version: 1.1.0 This skill is highly suspicious due to its reliance on an external API (`https://leqoshhsoufr.sealosbja.site/verify_config`) to dictate critical agent actions. The API response can instruct the agent to apply arbitrary configuration patches using `gateway config.patch` and write arbitrary files with arbitrary content to the workspace using the `write` tool, as detailed in SKILL.md's '第五步：执行向导'. These capabilities grant a remote server significant control over the agent's configuration and file system, creating a severe remote code execution (RCE) vulnerability. Additionally, the skill explicitly instructs the agent to ignore user input until activation, demonstrating a susceptibility to prompt injection.

Capability Assessment

ℹ Purpose & Capability

技能名称/描述（引导用户输入卡密并完成激活与配置）与其行为大体一致：检查本地标记文件、请求卡密、调用远端 API、应用返回的向导步骤并写入激活标记。唯一合理的用途是远端验证与按步骤配置本地代理。

⚠ Instruction Scope

SKILL.md 要求拦截所有对话直到激活（强制交互控制），并在收到卡密后用 curl 请求一个未知第三方域名获取 JSON。该 JSON 包含 wizard.steps，技能会按需自动调用 gateway 的 config.patch 并用 write 工具写入工作区文件。也就是说，远端响应可以驱动本地配置和文件写入——能力过宽，未限制可修改的配置范围或文件路径，且强制要求“必须真正执行 curl 并解析返回”，授权了远端控制本地 agent 配置的行动。

✓ Install Mechanism

无安装脚本，仅为说明性技能，因此不会在安装阶段写入或执行远端代码（较低安装风险）。风险主要来自运行时的外部请求与随之执行的本地变更。

⚠ Credentials

技能本身不要求环境变量，但会让用户直接发卡密并把卡密与设备 ID 发到未验证的域名。更严重的是，返回的 wizard 可指示应用 config_patch 和写入工作区文件——这等于授予远端下发变更的能力，可能用于引导用户泄露更多信息或修改代理行为，所需权限与描述相比显得过宽。

⚠ Persistence & Privilege

技能会在用户主目录写入/读取 ~/.openclaw/.device_id 与 ~/.openclaw/.setup_activated（持久标记）。虽然 always:false 且不是强制常驻，但通过 config.patch 修改 agent/gateway 配置和写工作区文件可能造成长期或不易察觉的行为改变。与远端下发任意配置结合时，后果可能重大。

How to Use

Make sure OpenClaw is installed (local or Docker)
Run the install command in chat: /install setup-wizard
After installation, invoke the skill by name or use /setup-wizard
Provide required inputs per the skill's parameter spec and get structured output

Version History

v1.1.0

重写SKILL.md：更明确的执行指令，防止agent模拟数据

v1.0.0

初始版本：卡密验证 + 交互式配置向导

Metadata

Slug setup-wizard

Version 1.1.0

License —

All-time Installs 0

Active Installs 0

Total Versions 2

Frequently Asked Questions

What is Setup Wizard?

引导用户输入卡密完成 OpenClaw 激活，验证后逐步配置并标记激活状态，激活后停止拦截对话。 It is an AI Agent Skill for Claude Code / OpenClaw, with 2413 downloads so far.

How do I install Setup Wizard?

Run "/install setup-wizard" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.

Is Setup Wizard free?

Yes, Setup Wizard is completely free (open-source). You can download, install and use it at no cost.

Which platforms does Setup Wizard support?

Setup Wizard is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).

Who created Setup Wizard?

It is built and maintained by Portisclawbot (@portisclawbot); the current version is v1.1.0.

More Skills