← 返回 Skills 市场
130
总下载
0
收藏
0
当前安装
2
版本数
在 OpenClaw 中安装
/install quantum-im-bot
功能描述
量子密信即时通讯渠道插件。将 OpenClaw 接入量子密信平台,实现 AI 智能回复、多账号管理、安全配对等功能。支持文本、图片、文件、图文消息,群聊和私聊。
安全使用建议
主要风险点是媒体发送路径:在回复/出站情况下插件会把媒体路径当成本地文件路径读取并上传到配置的 host(默认 imtwo.zdxlz.com)。在安装前请:
- 审核 host(imtwo.zdxlz.com)是否为你信任的服务端点;如不信任,请改为你控制的服务器地址。
- 确认 robotId 与 key 存放位置的权限,避免非授权访问配置文件。
- 如果你允许外部用户或不受信任的 agent 把 mediaUrl 传入,注意可能导致任意本地文件被读取并上报,应限制可接受的路径或验证来源。
- 在受限/隔离环境(容器或专用服务器)中运行此插件以减轻潜在文件外泄影响。
- 如需更高信心,审计或复核插件代码(尤其是处理 mediaUrl、上传和日志记录部分)并添加必要的输入校验与敏感信息过滤。
功能分析
Type: OpenClaw Skill
Name: quantum-im-bot
Version: 1.0.1
The plugin provides integration with the Quantum IM messaging platform, supporting text and media exchange. It implements a webhook listener in index.ts and an API client in src/api.ts to handle inbound and outbound communications. Although it manually reads the global openclaw.json configuration file to initialize its services, the logic is consistent with the documented functionality. No evidence of intentional data exfiltration or malicious command execution was found; the file and network access are necessary for the plugin's stated role as a communication channel.
能力评估
Purpose & Capability
名称/描述、配置项(robotId/key/host/webhookPort 等)以及代码(建立 webhook、接收消息、调用外部 API 上传/发送媒体、代理回复)在功能上是一致的:这是一个为量子密信实现的 OpenClaw 渠道插件,所请求的 node 二进制和 package.json 依赖与其用途相符。
Instruction Scope
处理入站/出站消息和附件时,代码会对 mediaUrl/ctx.mediaUrl 做为本地文件路径调用 fs.statSync 和 fs.readFileSync 并将内容上传到外部主机。若 mediaUrl 的来源不受信任(例如可由外部用户构造或由 agent 动态提供),插件会读取任意文件并把它通过网络发送到第三方——这超出了常规的“仅发送用户上传媒体”的假设。SKILL.md 没有明确告知这一行为或给出保护建议(例如只允许受信任路径或检验来源),因此存在范围/数据泄露风险。同时,代码在日志中打印上传/发送的响应体,可能暴露敏感内容或密钥。
Install Mechanism
没有可疑的远程下载或未审查的 install URL;安装流程是将扩展放到 ~/.openclaw/extensions 并执行 npm install,package.json 仅包含常见依赖(zod)和 dev 依赖。要求 Node >=22,安装机制与插件用途相称。
Credentials
插件不要求平台环境变量,但需要在 OpenClaw 配置中提供 robotId 与 key(这是合理的、必要的凭据)。风险在于:默认 host 指向 imtwo.zdxlz.com(第三方服务),未告知该主机的信任级别;此外插件会在日志中记录上传/发送的原始响应体,可能泄露敏感信息。如果你将 robotId/key 或回调 URL 放在全局配置中,请考虑其可见性和访问控制。
Persistence & Privilege
不使用 always:true;只有在 Gateway 运行上下文才会启动 webhook 服务。插件没有尝试修改其他插件或系统范围配置,也不驻留为平台总是启用的高权限组件。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install quantum-im-bot - 安装完成后,直接呼叫该 Skill 的名称或使用
/quantum-im-bot触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.1
- No code or documentation changes detected in this version.
- Version bumped from 1.0.0 to 1.0.1 with no modifications to functionality or documentation.
v1.0.0
Quantum IM 插件首次发布,实现与 OpenClaw 的量子密信即时通讯对接。
- 支持量子密信平台文本、图片、文件、图文消息的收发,覆盖群聊和私聊场景
- 集成 AI 智能回复及多账号管理
- 提供安全配对、白名单、公开三种私聊安全策略
- 补充详细安装、配置、故障排查与常见问题文档
- 适配 OpenClaw 插件体系,支持 npm 一键安装
- 【温馨提示】默认安装插件机器可访问,tailscale、frp、公网IP等均可
元数据
常见问题
量子密信对话机器人接入openclaw 是什么?
量子密信即时通讯渠道插件。将 OpenClaw 接入量子密信平台,实现 AI 智能回复、多账号管理、安全配对等功能。支持文本、图片、文件、图文消息,群聊和私聊。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 130 次。
如何安装 量子密信对话机器人接入openclaw?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install quantum-im-bot」即可一键安装,无需额外配置。
量子密信对话机器人接入openclaw 是免费的吗?
是的,量子密信对话机器人接入openclaw 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
量子密信对话机器人接入openclaw 支持哪些平台?
量子密信对话机器人接入openclaw 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 量子密信对话机器人接入openclaw?
由 mildniu(@mildniu)开发并维护,当前版本 v1.0.1。
推荐 Skills