核心用法
Email Webhook Receiver 是一个专为 AI Commander 架构设计的邮件接收技能,通过 HTTP POST 接收标准化 JSON 格式的邮件数据,触发 openclaw system event 即时唤醒指定 Agent。
部署流程:
1. 安装依赖:npm install express@4.21.2
2. 配置必需环境变量 WEBHOOK_SECRET(强密钥)与 OPENCLAW_AGENT_ID(目标Agent标识)
3. 启动服务监听默认端口 2083(Cloudflare 友好端口,支持 Flexible SSL)
4. 在 Cloudflare Email Worker 中配置 OPENCLAW_WEBHOOK_URL 指向 https://webhook.domain:2083/api/email
Agent 侧集成:通过 HEARTBEAT.md 定期检查本地 inbox.jsonl 文件,对比 receivedAt 时间戳,向用户推送格式化通知。
显著优点
- 即时唤醒:绕过心跳周期延迟,邮件到达秒级触达
- Cloudflare 原生兼容:端口 2083 为官方支持 SSL 端口,无需额外证书配置
- 安全设计完善:命令注入防护(
spawn参数数组)、路径遍历防护(path.basename清洗)、强制 Bearer Token 认证 - 数据主权:邮件内容本地存储为 JSONL,便于审计与隐私控制
潜在缺点与局限性
- 单点依赖:服务停机即丢失实时性,需配合心跳兜底机制
- 本地存储风险:
inbox.jsonl无自动轮换策略,需用户手动清理 - 端口硬编码惯性:文档多处混淆 2082/2083,易配置错误
- 非标准邮件协议:仅接收 Webhook POST,不支持 IMAP/POP3 原生拉取
适合人群
- 运行 AI Commander 架构的自动化工作流用户
- 需要邮件触发即时 Agent 响应的场景(客服工单、告警通知)
- 偏好 Cloudflare 生态、愿意自建 webhook 端点的技术用户
常规风险
- 密钥泄露:
WEBHOOK_SECRET若为弱口令或泄露,攻击者可伪造邮件唤醒 Agent - DoS 向量:无速率限制配置,大量邮件可导致日志文件膨胀与磁盘耗尽
- Agent ID 缺失风险:未设置
OPENCLAW_AGENT_ID将广播唤醒所有 Agent,可能引发资源竞争或信息泄露