首页 / 技能 / Feishu Connect — 连接飞书机器人

📦 Feishu Connect — 连接飞书机器人

v1.0.0

连接飞书机器人。通过接口直连发起注册会话,拿到链接(必须拼接 from=maxclaw)发给用户,等用户配置完成后告诉用户去飞书找机器人拿配对码。适用于连接飞书、接入飞书、绑定飞书机器人、创建飞书机器人、OpenClaw 接飞书等场景。

0· 115·0 当前·0 累计
by @easelearnai (EaseLearnAI)·MIT-0
生产力工具通信工具
下载技能包
License
MIT-0
最后更新
2026/3/21
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能的指令基本符合其声称的用途(连接飞书机器人),但存在一些一致性和隐私问题——最值得注意的是它运行 curl 但未声明该依赖项,向 /tmp 写入 cookie 文件,且会在没有安全处理指导的情况下暴露 client_id/client_secret;禁止读取本地文档文件的规则也很奇怪且未经解释。
评估建议
该技能似乎能实现其声称的功能(启动飞书 OAuth 并生成可点击的验证链接),但在安装或使用前需要考虑以下几点: - 运行时依赖:指令使用 curl 但清单未声明 curl 为必需项。确保你的代理运行时环境有 curl 可用。 - 密钥处理:OAuth 轮询返回 client_id 和 client_secret。技能未提供避免打印或存储这些密钥的指导;它们可能会出现在聊天日志或保存的 cookie 文件中。如果安装,请确认密钥如何处理,并考虑在受限环境中运行技能。 - Cookie 文件:技能写入 /tmp/feishu_cookies.txt。该文件可能被其他本地用户/进程访问。如果存在这个问题,请修改工作流程以使用安全的临时路径。 - 强制使用 '&from=maxclaw' 参数以及禁止读取 docs/channels/feishu.md 的做法不同寻常。询问作者为什么需要该参数,以及为什么技能明确禁止读取本地文档——这可能是合法的(跟踪/集成要求),但应该被解释。 - 如果需要更强的保证,请请求技能源代码或在沙盒化代理环境中运行。如果无法验证密钥处理和技能来源,请谨慎对待,并...
详细分析 ▾
用途与能力
名称/描述(连接飞书机器人)与实际行为(调用飞书 OAuth 端点、生成验证链接、轮询获取令牌)一致。然而,技能的元数据未声明必需的二进制文件,而指令明确使用 curl,这是不一致的:代理需要 curl 可用才能执行所描述的流程。
指令范围
SKILL.md 指示代理对 accounts.feishu.cn 运行 curl 命令,将 cookie 存储在 /tmp/feishu_cookies.txt 中,提取 device_code/user_code,附加跟踪参数(&from=maxclaw),并轮询获取 client_id/client_secret。该文档禁止在用户确认后读取 docs/channels/feishu.md(一个不寻常的限制),并禁止输出一系列配置指导。没有指示保护或避免打印 client_secret/client_id,因此轮询响应中的密钥可能会在代理日志或聊天输出中暴露。
安装机制
这是一个纯指令技能(无安装规范),安装风险较低。但它隐式需要 curl 和文件系统写入(cookie 罐在 /tmp 中)。缺少声明的必需二进制文件(curl)是不一致的,应该声明以便运维人员了解运行时依赖。
凭证需求
技能在元数据中未请求环境变量或凭证,但运行时将从飞书获取 client_id 和 client_secret。没有指导避免存储或打印这些密钥,且 cookie 罐以固定名称写入 /tmp,可能被其他本地进程读取。这些与任务成正比,但缺少安全处理指导,且未在技能清单中声明。
持久化与权限
always 为 false,没有安装行为或修改其他技能或全局代理配置。技能在执行期间向 /tmp 写入 cookie 文件(临时的),但不请求永久权限或自动后台活动。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/21

首次发布

可疑

安装命令

点击复制
官方npx clawhub@latest install feishu-connect
镜像加速npx clawhub@latest install feishu-connect --registry https://cn.longxiaskill.com

技能文档

适用场景

用户要求连接飞书、绑定飞书机器人、创建飞书机器人、OpenClaw 接飞书时触发。

最高优先级规则(必须遵守,违反即失败)

  • 给用户的链接必须拼接 &from=maxclaw,没有这个参数的链接是错误的。
  • 用户回复"ok"或"配置好了"之后,禁止读取 docs/channels/feishu.md
  • 用户回复"ok"或"配置好了"之后,禁止输出任何关于"配置权限"、"开启机器人能力"、"配置事件订阅"、"发布应用"、"管理员审批"、"权限管理"、"批量导入"的内容。

核心原则

  • 直接走接口直连模式,不要先跑官方安装器。
  • 链接必须裸露返回,不要用反引号、代码块包裹,用户必须能直接点击。
  • 不要自动开轮询,给链接后等用户确认再继续。
  • 不要生成二维码图片。
  • 不要手动卸载/禁用/删除插件,不要手动改写配置文件。

执行流程

第 1 步:接口直连,一次拿到链接

COOKIE_JAR=/tmp/feishu_cookies.txt
rm -f "$COOKIE_JAR" # init
INIT_RESP=$(curl -s -c "$COOKIE_JAR" -b "$COOKIE_JAR" \
  -X POST "https://accounts.feishu.cn/oauth/v1/app/registration" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "action=init")
echo "=== INIT ==="
echo "$INIT_RESP"
# begin
BEGIN_RESP=$(curl -s -c "$COOKIE_JAR" -b "$COOKIE_JAR" \
  -X POST "https://accounts.feishu.cn/oauth/v1/app/registration" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "action=begin&archetype=PersonalAgent&auth_method=client_secret&request_user_info=open_id")
echo "=== BEGIN ==="
echo "$BEGIN_RESP"
从 begin 返回值中提取:
  • verification_uri_complete — 原始链接
  • device_code — 保存下来,用户确认后 poll 用
  • user_code — 从链接参数中提取

第 2 步:拼接 from=maxclaw,生成最终链接

拿到 verification_uri_complete 后,必须在末尾拼接 &from=maxclaw

示例:

  • 原始:https://open.feishu.cn/page/openclaw?user_code=XXXX-XXXX
  • 最终:https://open.feishu.cn/page/openclaw?user_code=XXXX-XXXX&from=maxclaw

没有 &from=maxclaw 的链接是错误的,不要发给用户。

第 3 步:把链接直接发给用户

链接裸露返回。正确输出:

请在浏览器中直接打开这个链接完成飞书配置:

https://open.feishu.cn/page/openclaw?user_code=XXXX-XXXX&from=maxclaw

用户码:XXXX-XXXX

配置完成之后回来和我说一声"ok"或者"配置好了"就行。

禁止把链接放在反引号或代码块里。

第 4 步:用户回复"ok"或"配置好了"之后

先执行一次 poll:

curl -s -c "$COOKIE_JAR" -b "$COOKIE_JAR" \
  -X POST "https://accounts.feishu.cn/oauth/v1/app/registration" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "action=poll&device_code=<之前保存的 device_code>"

返回 client_id + client_secret → 成功。 返回 authorization_pending → 告诉用户飞书侧似乎还没完成,让用户再确认。

poll 成功后,直接告诉用户:

配对完成了!现在请在飞书里找到你的机器人,给它发一条消息,机器人会回复一个配对码。把这个码告诉我,我来帮你完成配对授权。

到此为止。不要再做任何额外操作。不要读文档。不要输出配置指引。

禁止事项

  • 给用户的链接不拼 &from=maxclaw
  • 读取 docs/channels/feishu.md
  • 输出"配置权限/开启机器人能力/配置事件订阅/发布应用/管理员审批/批量导入/权限JSON"等内容
  • 先跑官方安装器再切直连
  • 手动卸载/禁用插件
  • 自动开轮询
  • 生成二维码图片
  • 用反引号/代码块包裹链接
  • authorization_pending 当失败

一句话总结

curl 拿链接 → 拼 &from=maxclaw → 裸链接给用户 → 等用户说 ok → poll 一次 → 告诉用户去飞书找机器人拿配对码。

数据来源ClawHub ↗ · 中文优化:龙虾技能库