← Back to Skills Marketplace
ClawHub发布工具
by
wuhaichao87
· GitHub ↗
· v1.0.0
· MIT-0
299
Downloads
0
Stars
0
Active Installs
1
Versions
Install in OpenClaw
/install clawhub-publish-tool
Description
将本地技能发布到ClawHub平台,支持设置slug、名称、版本、路径及更新日志参数。
README (SKILL.md)
ClawHub Publish
将本地 skill 发布到 ClawHub。
使用方法
python3 ~/.openclaw/workspace/skills/clawhub-publish/publish.py --slug \x3Cslug> --name "\x3C名称>" --version \x3C版本> --path \x3C技能目录>
参数
--slug: Skill slug (如 family-intent-recognition)--name: 显示名称 (如 家庭消费意图识别)--version: 版本号 (如 1.0.0)--path: 技能文件夹路径 (默认: 当前目录)--changelog: 更新日志 (可选)
示例
python3 ~/.openclaw/workspace/skills/clawhub-publish/publish.py \
--slug family-intent-recognition \
--name "家庭消费意图识别" \
--version 1.0.0 \
--path ~/.openclaw/workspace/skills/family-intent-recognition \
--changelog "支持消费意图识别"
Python 调用
from publish import publish_skill
result = publish_skill(
slug="family-intent-recognition",
name="家庭消费意图识别",
version="1.0.0",
skill_dir="/path/to/skill",
changelog="更新说明"
)
print(result)
Usage Guidance
在安装或运行此技能前请考虑:
- 不要直接运行脚本并把敏感目录作为 --path 参数。脚本会读取并上传匹配的本地文件(.md/.py/.js/.json/.txt)到 https://clawhub.ai。
- 代码中硬编码了一个 Bearer TOKEN。确认该令牌的来源:它可能是开发测试令牌、错放的密钥或有效的发布凭证。若属于你/组织,请考虑废弃/轮换该令牌并使用环境变量或交互式凭证输入替代硬编码。
- 代码存在质量问题(upload_file 中使用未定义的 'content';该函数未被调用),表明未充分审计或测试。建议手动审查 publish.py 并改造为:接受外部 TOKEN(环境变量或 CLI 参数)、显式提示要上传哪些文件、并增加确认步骤。
- 若你希望此工具自动化运行(agent 可自主调用),请特别小心:带有硬编码凭证的自动化会在未经充分限制下泄露或滥用凭证。
- 推荐措施:在隔离环境(沙箱)中测试,替换为要求用户提供 API 令牌的实现,或直接使用 ClawHub 官方/受信任的 CLI/API 客户端。如果你无法确认该令牌的合法性和权限,避免使用并与 ClawHub 支持/安全团队核实。
Capability Analysis
Type: OpenClaw Skill
Name: clawhub-publish-tool
Version: 1.0.0
The skill bundle contains a hardcoded API token in `publish.py`, which is a security vulnerability (credential exposure). While the tool's functionality of uploading files to `https://clawhub.ai` aligns with its stated purpose, the ability to read and exfiltrate any local directory's contents based on agent-provided paths constitutes a high-risk capability. Additionally, the `upload_file` function in `publish.py` contains a `NameError` (referencing an undefined `content` variable), indicating poor code quality or untested logic.
Capability Assessment
Purpose & Capability
名为“ClawHub 发布工具”,应当与远程发布 API 交互,这本身合理;但元数据声明无需任何环境变量或凭证,代码中却硬编码了一个长的 Bearer TOKEN(TOKEN = "clh_..."),且将本地文件上传到外部主机。声明与实际所需的凭证/权限不一致。
Instruction Scope
SKILL.md 指示运行 publish.py 并提供 slug/name/version/path,但未明确告知会将路径下匹配的文件(.md/.py/.js/.json/.txt)上传到 clawhub.ai,也未说明使用硬编码令牌。脚本会读取并上传目录中所有匹配文件,可能导致敏感文件被意外上传。代码中还有一个 upload_file() 函数使用了未定义的变量 'content'(错误/粗糙),该函数未被调用,表明实现有漏洞或未充分审计。
Install Mechanism
无安装说明,为指令和脚本形式(没有下载外部二进制或从不可信 URL 抓取代码)。这降低了安装层面的风险,但脚本本身会在运行时对外发起网络请求。
Credentials
registry 元数据/要求声明无凭证,但代码包含硬编码的 Bearer TOKEN(可直接用于授权到 https://clawhub.ai)。这既不透明又不成比例:若这是一个用户级发布工具,通常应要求用户提供自己的 API 令牌(例如通过环境变量或交互式输入),而不是内置一个长期有效令牌。
Persistence & Privilege
没有设置 always:true,也不修改其他技能或全局配置。默认允许模型调用(disable-model-invocation:false),这本身是平台默认,但与硬编码凭证结合时会扩大滥用风险(代理可在无用户明确交互下触发上传)。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install clawhub-publish-tool - After installation, invoke the skill by name or use
/clawhub-publish-tool - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
一键发布skill到ClawHub
Metadata
Frequently Asked Questions
What is ClawHub发布工具?
将本地技能发布到ClawHub平台,支持设置slug、名称、版本、路径及更新日志参数。 It is an AI Agent Skill for Claude Code / OpenClaw, with 299 downloads so far.
How do I install ClawHub发布工具?
Run "/install clawhub-publish-tool" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is ClawHub发布工具 free?
Yes, ClawHub发布工具 is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does ClawHub发布工具 support?
ClawHub发布工具 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created ClawHub发布工具?
It is built and maintained by wuhaichao87 (@wuhaichao87); the current version is v1.0.0.
More Skills