← Back to Skills Marketplace
130
Downloads
0
Stars
0
Active Installs
2
Versions
Install in OpenClaw
/install quantum-im-bot
Description
量子密信即时通讯渠道插件。将 OpenClaw 接入量子密信平台,实现 AI 智能回复、多账号管理、安全配对等功能。支持文本、图片、文件、图文消息,群聊和私聊。
Usage Guidance
主要风险点是媒体发送路径:在回复/出站情况下插件会把媒体路径当成本地文件路径读取并上传到配置的 host(默认 imtwo.zdxlz.com)。在安装前请:
- 审核 host(imtwo.zdxlz.com)是否为你信任的服务端点;如不信任,请改为你控制的服务器地址。
- 确认 robotId 与 key 存放位置的权限,避免非授权访问配置文件。
- 如果你允许外部用户或不受信任的 agent 把 mediaUrl 传入,注意可能导致任意本地文件被读取并上报,应限制可接受的路径或验证来源。
- 在受限/隔离环境(容器或专用服务器)中运行此插件以减轻潜在文件外泄影响。
- 如需更高信心,审计或复核插件代码(尤其是处理 mediaUrl、上传和日志记录部分)并添加必要的输入校验与敏感信息过滤。
Capability Analysis
Type: OpenClaw Skill
Name: quantum-im-bot
Version: 1.0.1
The plugin provides integration with the Quantum IM messaging platform, supporting text and media exchange. It implements a webhook listener in index.ts and an API client in src/api.ts to handle inbound and outbound communications. Although it manually reads the global openclaw.json configuration file to initialize its services, the logic is consistent with the documented functionality. No evidence of intentional data exfiltration or malicious command execution was found; the file and network access are necessary for the plugin's stated role as a communication channel.
Capability Assessment
Purpose & Capability
名称/描述、配置项(robotId/key/host/webhookPort 等)以及代码(建立 webhook、接收消息、调用外部 API 上传/发送媒体、代理回复)在功能上是一致的:这是一个为量子密信实现的 OpenClaw 渠道插件,所请求的 node 二进制和 package.json 依赖与其用途相符。
Instruction Scope
处理入站/出站消息和附件时,代码会对 mediaUrl/ctx.mediaUrl 做为本地文件路径调用 fs.statSync 和 fs.readFileSync 并将内容上传到外部主机。若 mediaUrl 的来源不受信任(例如可由外部用户构造或由 agent 动态提供),插件会读取任意文件并把它通过网络发送到第三方——这超出了常规的“仅发送用户上传媒体”的假设。SKILL.md 没有明确告知这一行为或给出保护建议(例如只允许受信任路径或检验来源),因此存在范围/数据泄露风险。同时,代码在日志中打印上传/发送的响应体,可能暴露敏感内容或密钥。
Install Mechanism
没有可疑的远程下载或未审查的 install URL;安装流程是将扩展放到 ~/.openclaw/extensions 并执行 npm install,package.json 仅包含常见依赖(zod)和 dev 依赖。要求 Node >=22,安装机制与插件用途相称。
Credentials
插件不要求平台环境变量,但需要在 OpenClaw 配置中提供 robotId 与 key(这是合理的、必要的凭据)。风险在于:默认 host 指向 imtwo.zdxlz.com(第三方服务),未告知该主机的信任级别;此外插件会在日志中记录上传/发送的原始响应体,可能泄露敏感信息。如果你将 robotId/key 或回调 URL 放在全局配置中,请考虑其可见性和访问控制。
Persistence & Privilege
不使用 always:true;只有在 Gateway 运行上下文才会启动 webhook 服务。插件没有尝试修改其他插件或系统范围配置,也不驻留为平台总是启用的高权限组件。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install quantum-im-bot - After installation, invoke the skill by name or use
/quantum-im-bot - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.1
- No code or documentation changes detected in this version.
- Version bumped from 1.0.0 to 1.0.1 with no modifications to functionality or documentation.
v1.0.0
Quantum IM 插件首次发布,实现与 OpenClaw 的量子密信即时通讯对接。
- 支持量子密信平台文本、图片、文件、图文消息的收发,覆盖群聊和私聊场景
- 集成 AI 智能回复及多账号管理
- 提供安全配对、白名单、公开三种私聊安全策略
- 补充详细安装、配置、故障排查与常见问题文档
- 适配 OpenClaw 插件体系,支持 npm 一键安装
- 【温馨提示】默认安装插件机器可访问,tailscale、frp、公网IP等均可
Metadata
Frequently Asked Questions
What is 量子密信对话机器人接入openclaw?
量子密信即时通讯渠道插件。将 OpenClaw 接入量子密信平台,实现 AI 智能回复、多账号管理、安全配对等功能。支持文本、图片、文件、图文消息,群聊和私聊。 It is an AI Agent Skill for Claude Code / OpenClaw, with 130 downloads so far.
How do I install 量子密信对话机器人接入openclaw?
Run "/install quantum-im-bot" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is 量子密信对话机器人接入openclaw free?
Yes, 量子密信对话机器人接入openclaw is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does 量子密信对话机器人接入openclaw support?
量子密信对话机器人接入openclaw is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created 量子密信对话机器人接入openclaw?
It is built and maintained by mildniu (@mildniu); the current version is v1.0.1.
More Skills