← 返回 Skills 市场
450
总下载
0
收藏
1
当前安装
4
版本数
在 OpenClaw 中安装
/install multi-inbox-merge
功能描述
多平台私信合并助手:将邮箱、WhatsApp、Telegram、钉钉、企微、飞书、短信等消息统一为会话线程,自动去重、紧急度评分并生成跟进队列。用户提到“合并私信/统一收件箱/客户消息汇总/待跟进清单/读取钉钉消息”时使用。
安全使用建议
该技能看起来实现了它所宣称的功能;在决定安装/运行前请注意:1) 如果要使用“读取钉钉消息”功能,你需要设置 DINGTALK_CLIENT_ID、DINGTALK_CLIENT_SECRET 和 DINGTALK_MESSAGES_API_URL — 请确认这些环境变量仅在受信主机或容器中设置;2) 核验 DINGTALK_MESSAGES_API_URL 指向的是你企业的受控消息查询接口(不要将凭据提交到不熟悉的 URL);3) 因为注册元数据未列出钉钉凭据,建议在封闭测试环境中先运行脚本并审查输出,确认不会将数据发送到意外端点;4) 如需更高信心,可让熟悉钉钉/网络的同事审查 fetch_dingtalk_messages.py 中的请求目标与头部,或将脚本在网络受限的环境中运行。若你希望我把注册元数据与 SKILL.md 中的环境变量一一对照并生成修正建议文本,我可以帮你生成。
功能分析
Type: OpenClaw Skill
Name: multi-inbox-merge
Version: 0.1.3
The skill is classified as suspicious due to a critical vulnerability in `scripts/fetch_dingtalk_messages.py`. This script fetches DingTalk messages using credentials (`DINGTALK_CLIENT_ID`, `DINGTALK_CLIENT_SECRET`, `access_token`) which are sent to a user-configurable `DINGTALK_MESSAGES_API_URL`. While the stated purpose is legitimate, the lack of validation or allowlisting for this URL means that if an attacker can control the `DINGTALK_MESSAGES_API_URL` environment variable, they could redirect sensitive DingTalk credentials and access tokens to an arbitrary malicious server, leading to data exfiltration. The `SKILL.md` instructions for the agent to check for this variable do not mitigate this content-based vulnerability.
能力评估
Purpose & Capability
技能名与说明匹配其包含的脚本:合并多平台消息并支持从钉钉拉取消息。唯一不一致是注册元数据中未列出任何必需环境变量,而 SKILL.md 与 fetch_dingtalk_messages.py 明确需要 DINGTALK_CLIENT_ID、DINGTALK_CLIENT_SECRET 和 DINGTALK_MESSAGES_API_URL。当不使用钉钉功能时无此依赖,整体合理但元数据不完整。
Instruction Scope
SKILL.md 指示仅处理导出文件(CSV/JSON)和可选的钉钉 API 拉取。脚本只读取命令行参数 / 指定的环境变量并向钉钉 token 与消息 API 发起 HTTP POST,未指示读取系统其他敏感文件或发送数据到非用户指定的外部端点。说明中也包含不要泄露密钥的安全建议。
Install Mechanism
无安装步骤(instruction-only + 附带 Python 脚本),不会在安装时下载或执行第三方二进制,风险较低。
Credentials
仅在需要拉取钉钉消息时才要求钉钉凭据,凭据种类与用途相符。但注册元数据未声明这些必需的环境变量,造成透明度问题;此外需要用户确认 DINGTALK_MESSAGES_API_URL 指向的确实是企业内部/受信任的消息查询接口而非任意第三方。
Persistence & Privilege
技能没有要求常驻(always)或修改其他技能/系统配置的能力,默认的自治调用权限为平台常态;脚本仅在用户主动运行时联网调用 API。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install multi-inbox-merge - 安装完成后,直接呼叫该 Skill 的名称或使用
/multi-inbox-merge触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v0.1.3
新增钉钉前置凭据检查与引导配置流程
v0.1.2
新增钉钉 API 拉取脚本与对接文档,支持先拉取再合并
v0.1.1
中文化 SKILL.md、schema 与脚本输出,便于中文用户直接使用
v0.1.0
Initial MVP: merge cross-platform inbox exports, dedupe, score urgency, and generate follow-up queue
元数据
常见问题
多平台私信合并助手 是什么?
多平台私信合并助手:将邮箱、WhatsApp、Telegram、钉钉、企微、飞书、短信等消息统一为会话线程,自动去重、紧急度评分并生成跟进队列。用户提到“合并私信/统一收件箱/客户消息汇总/待跟进清单/读取钉钉消息”时使用。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 450 次。
如何安装 多平台私信合并助手?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install multi-inbox-merge」即可一键安装,无需额外配置。
多平台私信合并助手 是免费的吗?
是的,多平台私信合并助手 完全免费(开源免费),可自由下载、安装和使用。
多平台私信合并助手 支持哪些平台?
多平台私信合并助手 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 多平台私信合并助手?
由 Lucas(@yikailucas)开发并维护,当前版本 v0.1.3。
推荐 Skills