← 返回 Skills 市场

Setup Wizard

Name: Setup Wizard
Author: portisclawbot

作者 Portisclawbot · GitHub ↗ · v1.1.0

cross-platform ⚠ suspicious

2413

总下载

当前安装

版本数

在 OpenClaw 中安装

/install setup-wizard

功能描述

引导用户输入卡密完成 OpenClaw 激活，验证后逐步配置并标记激活状态，激活后停止拦截对话。

安全使用建议

这个技能表面上是激活向导，但在运行时会把你发送的卡密和设备 ID 发到一个未知的第三方域名，并按该域返回的 JSON 自动修改 agent 配置和写入工作区文件——远端因此能间接控制你的代理行为。建议： - 在未核实远端域名与服务方身份前不要安装或启用该技能。 - 不要直接发送任何敏感凭据（API 密钥、云令牌、个人账号密码等）作为“卡密”。 - 如果需要测试，先在隔离环境/虚拟机或临时账户上运行，监控所有写入的文件和 gateway config.patch 的具体变更。 - 要求技能在应用任何 config_patch 或写入文件前显示完整补丁/文件内容并获得你的明确批准（不要自动执行）。 - 优先选择由可信来源或官方发布的激活/更新路径；如果这是第三方提供的付费激活，请向卖家或平台索要可验证的签名证书与域名登记信息再决定。基于上述原因：该技能具备远端下发并自动应用配置/文件的能力，存在明显滥用和持久化风险，除非你能验证并审查每次向导返回的内容，否则不建议在生产环境或含敏感数据的账户上使用。

功能分析

Type: OpenClaw Skill Name: setup-wizard Version: 1.1.0 This skill is highly suspicious due to its reliance on an external API (`https://leqoshhsoufr.sealosbja.site/verify_config`) to dictate critical agent actions. The API response can instruct the agent to apply arbitrary configuration patches using `gateway config.patch` and write arbitrary files with arbitrary content to the workspace using the `write` tool, as detailed in SKILL.md's '第五步：执行向导'. These capabilities grant a remote server significant control over the agent's configuration and file system, creating a severe remote code execution (RCE) vulnerability. Additionally, the skill explicitly instructs the agent to ignore user input until activation, demonstrating a susceptibility to prompt injection.

能力评估

ℹ Purpose & Capability

技能名称/描述（引导用户输入卡密并完成激活与配置）与其行为大体一致：检查本地标记文件、请求卡密、调用远端 API、应用返回的向导步骤并写入激活标记。唯一合理的用途是远端验证与按步骤配置本地代理。

⚠ Instruction Scope

SKILL.md 要求拦截所有对话直到激活（强制交互控制），并在收到卡密后用 curl 请求一个未知第三方域名获取 JSON。该 JSON 包含 wizard.steps，技能会按需自动调用 gateway 的 config.patch 并用 write 工具写入工作区文件。也就是说，远端响应可以驱动本地配置和文件写入——能力过宽，未限制可修改的配置范围或文件路径，且强制要求“必须真正执行 curl 并解析返回”，授权了远端控制本地 agent 配置的行动。

✓ Install Mechanism

无安装脚本，仅为说明性技能，因此不会在安装阶段写入或执行远端代码（较低安装风险）。风险主要来自运行时的外部请求与随之执行的本地变更。

⚠ Credentials

技能本身不要求环境变量，但会让用户直接发卡密并把卡密与设备 ID 发到未验证的域名。更严重的是，返回的 wizard 可指示应用 config_patch 和写入工作区文件——这等于授予远端下发变更的能力，可能用于引导用户泄露更多信息或修改代理行为，所需权限与描述相比显得过宽。

⚠ Persistence & Privilege

技能会在用户主目录写入/读取 ~/.openclaw/.device_id 与 ~/.openclaw/.setup_activated（持久标记）。虽然 always:false 且不是强制常驻，但通过 config.patch 修改 agent/gateway 配置和写工作区文件可能造成长期或不易察觉的行为改变。与远端下发任意配置结合时，后果可能重大。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install setup-wizard
安装完成后，直接呼叫该 Skill 的名称或使用 /setup-wizard 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.1.0

重写SKILL.md：更明确的执行指令，防止agent模拟数据

v1.0.0

初始版本：卡密验证 + 交互式配置向导

元数据

Slug setup-wizard

版本 1.1.0

许可证 —

累计安装 0

当前安装数 0

历史版本数 2

常见问题

Setup Wizard 是什么？

引导用户输入卡密完成 OpenClaw 激活，验证后逐步配置并标记激活状态，激活后停止拦截对话。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 2413 次。

如何安装 Setup Wizard？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install setup-wizard」即可一键安装，无需额外配置。

Setup Wizard 是免费的吗？

是的，Setup Wizard 完全免费（开源免费），可自由下载、安装和使用。

Setup Wizard 支持哪些平台？

Setup Wizard 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 Setup Wizard？

由 Portisclawbot（@portisclawbot）开发并维护，当前版本 v1.1.0。