← 返回 Skills 市场
ClawHub发布工具
作者
wuhaichao87
· GitHub ↗
· v1.0.0
· MIT-0
299
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install clawhub-publish-tool
功能描述
将本地技能发布到ClawHub平台,支持设置slug、名称、版本、路径及更新日志参数。
使用说明 (SKILL.md)
ClawHub Publish
将本地 skill 发布到 ClawHub。
使用方法
python3 ~/.openclaw/workspace/skills/clawhub-publish/publish.py --slug \x3Cslug> --name "\x3C名称>" --version \x3C版本> --path \x3C技能目录>
参数
--slug: Skill slug (如 family-intent-recognition)--name: 显示名称 (如 家庭消费意图识别)--version: 版本号 (如 1.0.0)--path: 技能文件夹路径 (默认: 当前目录)--changelog: 更新日志 (可选)
示例
python3 ~/.openclaw/workspace/skills/clawhub-publish/publish.py \
--slug family-intent-recognition \
--name "家庭消费意图识别" \
--version 1.0.0 \
--path ~/.openclaw/workspace/skills/family-intent-recognition \
--changelog "支持消费意图识别"
Python 调用
from publish import publish_skill
result = publish_skill(
slug="family-intent-recognition",
name="家庭消费意图识别",
version="1.0.0",
skill_dir="/path/to/skill",
changelog="更新说明"
)
print(result)
安全使用建议
在安装或运行此技能前请考虑:
- 不要直接运行脚本并把敏感目录作为 --path 参数。脚本会读取并上传匹配的本地文件(.md/.py/.js/.json/.txt)到 https://clawhub.ai。
- 代码中硬编码了一个 Bearer TOKEN。确认该令牌的来源:它可能是开发测试令牌、错放的密钥或有效的发布凭证。若属于你/组织,请考虑废弃/轮换该令牌并使用环境变量或交互式凭证输入替代硬编码。
- 代码存在质量问题(upload_file 中使用未定义的 'content';该函数未被调用),表明未充分审计或测试。建议手动审查 publish.py 并改造为:接受外部 TOKEN(环境变量或 CLI 参数)、显式提示要上传哪些文件、并增加确认步骤。
- 若你希望此工具自动化运行(agent 可自主调用),请特别小心:带有硬编码凭证的自动化会在未经充分限制下泄露或滥用凭证。
- 推荐措施:在隔离环境(沙箱)中测试,替换为要求用户提供 API 令牌的实现,或直接使用 ClawHub 官方/受信任的 CLI/API 客户端。如果你无法确认该令牌的合法性和权限,避免使用并与 ClawHub 支持/安全团队核实。
功能分析
Type: OpenClaw Skill
Name: clawhub-publish-tool
Version: 1.0.0
The skill bundle contains a hardcoded API token in `publish.py`, which is a security vulnerability (credential exposure). While the tool's functionality of uploading files to `https://clawhub.ai` aligns with its stated purpose, the ability to read and exfiltrate any local directory's contents based on agent-provided paths constitutes a high-risk capability. Additionally, the `upload_file` function in `publish.py` contains a `NameError` (referencing an undefined `content` variable), indicating poor code quality or untested logic.
能力评估
Purpose & Capability
名为“ClawHub 发布工具”,应当与远程发布 API 交互,这本身合理;但元数据声明无需任何环境变量或凭证,代码中却硬编码了一个长的 Bearer TOKEN(TOKEN = "clh_..."),且将本地文件上传到外部主机。声明与实际所需的凭证/权限不一致。
Instruction Scope
SKILL.md 指示运行 publish.py 并提供 slug/name/version/path,但未明确告知会将路径下匹配的文件(.md/.py/.js/.json/.txt)上传到 clawhub.ai,也未说明使用硬编码令牌。脚本会读取并上传目录中所有匹配文件,可能导致敏感文件被意外上传。代码中还有一个 upload_file() 函数使用了未定义的变量 'content'(错误/粗糙),该函数未被调用,表明实现有漏洞或未充分审计。
Install Mechanism
无安装说明,为指令和脚本形式(没有下载外部二进制或从不可信 URL 抓取代码)。这降低了安装层面的风险,但脚本本身会在运行时对外发起网络请求。
Credentials
registry 元数据/要求声明无凭证,但代码包含硬编码的 Bearer TOKEN(可直接用于授权到 https://clawhub.ai)。这既不透明又不成比例:若这是一个用户级发布工具,通常应要求用户提供自己的 API 令牌(例如通过环境变量或交互式输入),而不是内置一个长期有效令牌。
Persistence & Privilege
没有设置 always:true,也不修改其他技能或全局配置。默认允许模型调用(disable-model-invocation:false),这本身是平台默认,但与硬编码凭证结合时会扩大滥用风险(代理可在无用户明确交互下触发上传)。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install clawhub-publish-tool - 安装完成后,直接呼叫该 Skill 的名称或使用
/clawhub-publish-tool触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
一键发布skill到ClawHub
元数据
常见问题
ClawHub发布工具 是什么?
将本地技能发布到ClawHub平台,支持设置slug、名称、版本、路径及更新日志参数。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 299 次。
如何安装 ClawHub发布工具?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install clawhub-publish-tool」即可一键安装,无需额外配置。
ClawHub发布工具 是免费的吗?
是的,ClawHub发布工具 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
ClawHub发布工具 支持哪些平台?
ClawHub发布工具 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 ClawHub发布工具?
由 wuhaichao87(@wuhaichao87)开发并维护,当前版本 v1.0.0。
推荐 Skills