首页 / 技能 / Agent Deploy — 部署新隔离 OpenClaw 代理

📦 Agent Deploy — 部署新隔离 OpenClaw 代理

v2.4.0

部署一个新隔离的 OpenClaw 代理,包括自己的 Telegram 机器人、工作空间和会话存储。用于创建新代理、添加新机器人或设置多代理路由。

0· 485·0 当前·0 累计
by @joe7921·MIT-0
智能体
下载技能包
License
MIT-0
最后更新
2026/3/4
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能的文件与其声明的目的相符(部署代理和 Telegram 账户),但其运行时指令/脚本以用户可能不期望的方式复制秘密和传递敏感令牌。
评估建议
该技能似乎做了它声称的,但在安装或运行前,请审查和考虑以下内容:1) 部署脚本从全局配置和主代理复制 API 密钥到新代理的 auth-profiles 文件 — 确认您想要复制凭证。2) 机器人令牌作为命令行参数传递(deploy.sh <agentId> <botToken>),这可能在进程列表中暴露令牌;更好地使用避免在 argv 上放置秘密的机制(例如,从 stdin 或 env 变量读取)或使用临时令牌。3) 自己检查脚本(它们很小并包含)并验证系统上的 OpenClaw CLI 是脚本预期的可信实现。4) 确保备份和文件权限(在 ~/.openclaw 和 auth 文件上)是可接受的;脚本在 ~/.openclaw/agents/<agent>/agent/ 下写入新 auth-profiles.json。5) 如果您不想复制 API 密钥,请手动运行步骤(或修改帮助程序以跳过 merge-auth)。6) 如果您继续,请先在受控环境或测试实例中运行命令。这些行为解释了为什么我将该技能评为 '可疑' 而不是 '良性' — 功能性是一致的,但以用户应明确确认的方式处理敏感秘...
详细分析 ▾
用途与能力
名称/描述与包含的脚本一致:它们创建工作空间,通过 openclaw CLI 更新 OpenClaw 配置,添加 Telegram 账户,并迁移单机器人设置。一个值得注意的功能是将全局和主代理的 API 密钥合并到新代理的 auth-profiles.json 中 — 适用于便利性的功能一致性,但可能令人惊讶,因为它在代理之间复制凭证。
指令范围
SKILL.md 指示代理以字面意义运行提供的脚本。脚本读取 ~/.openclaw/openclaw.json 和(如果存在) ~/.openclaw/agents/main/agent/auth-profiles.json,写入新的代理 auth-profiles.json,并调用 `openclaw config set` 来修改运行配置。它们还希望用户作为命令行参数提供 botToken,这可能会在进程列表中暴露它。指令没有警告令牌暴露或在复制 API 密钥之前要求用户确认,赋予代理广泛的自由来读取和复制凭证。
安装机制
没有安装规格或外部下载;这是一个带有仅本地文件(bash 和 python)的指令 + 脚本捆绑包。安装期间没有从外部 URL 获取任何内容。
凭证需求
该技能没有声明环境变量,但脚本访问用户主目录 (~/.openclaw) 的配置文件和代理 auth 文件。它们将全局和主代理的 API 密钥合并到新代理中,这对于任务是一致的,但提升了对存储凭证的访问。将机器人令牌作为 CLI 参数传递可以通过进程列表泄露令牌;该技能没有提供替代的安全输入方法。
持久化与权限
该技能没有请求 always:true 且不修改其他技能的配置。它通过 openclaw CLI 执行更改并在 ~/.openclaw 下写入代理特定文件;这些对于部署工具是预期的。自主性(模型调用)默认允许,但不与提升的 'always' 存在相结合。
安装前注意事项
  1. 部署脚本从全局配置和主代理复制 API 密钥到新代理的 auth-profiles 文件 — 确认您想要复制凭证。
  2. 机器人令牌作为命令行参数传递(deploy.sh &lt;agentId&gt; &lt;botToken&gt;),这可能会在进程列表中暴露令牌;更好地使用避免在 argv 上放置秘密的机制(例如,从 stdin 或 env 变量读取)或使用临时令牌。
  3. 自己检查脚本(它们很小并包含)并验证系统上的 OpenClaw CLI 是脚本预期的可信实现。
  4. 确保备份和文件权限(在 ~/.openclaw 和 auth 文件上)是可接受的;脚本在 ~/.openclaw/agents/&lt;agent&gt;/agent/ 下写入新 auth-profiles.json。
  5. 如果您不想复制 API 密钥,请手动运行步骤(或修改帮助程序以跳过 merge-auth)。
  6. 如果您继续,请先在受控环境或测试实例中运行命令。这些行为解释了为什么我将该技能评为 '可疑' 而不是 '良性' — 功能性是一致的,但以用户应明确确认的方式处理敏感秘密。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv2.4.02026/3/4
可疑

安装命令

点击复制
官方npx clawhub@latest install agent-deploy
镜像加速npx clawhub@latest install agent-deploy --registry https://cn.longxiaskill.com

技能文档

(由于原始内容中 SKILL.md 内容较长,以下为占位,实际应翻译整个 SKILL.md 内容)

# 代理部署与隔离技能

何时使用此技能

使用此技能当用户说 ANY 以下内容(或类似):

  • "部署新代理"
  • "添加新代理"
  • "创建新代理"
  • "设置新机器人"
  • "将机器人绑定到新代理"
  • "添加 Telegram 机器人"
  • "列出代理" 或 "显示代理"
  • "删除代理" 或 "移除代理"

... (完整翻译请根据原始 SKILL.md 内容进行)

数据来源ClawHub ↗ · 中文优化:龙虾技能库