核心用法
LoveClaw 是一款融合传统八字命理与现代云端技术的缘分匹配工具。用户通过发送「启动爱情龙虾」触发报名流程,建立包含出生日期、性别、照片等信息的个人档案。系统基于八字命理算法计算用户间的缘分指数,支持每日自动匹配与晚间报告推送(约 20:00)。
主要功能模块
- 档案管理:云端存储个人资料与照片,支持「我的档案」查询与「取消报名」删除
- 智能匹配:基于八字命理的缘分算法,每日生成潜在匹配对象
- 定时推送:可选开启晚间报告,自动推送当日匹配结果至用户渠道
- 跨平台支持:适配飞书、Telegram 等多种渠道
技术架构
- 前端:Node.js 运行环境,通过
npm install安装依赖 - 后端:云函数 HTTPS API,默认使用内置服务端点,支持
LOVECLAW_API_BASE自建覆盖 - 定时任务:OpenClaw cron 机制,通过
cloud-cron.js执行匹配与报告生成
显著优点
1. 文化特色鲜明:将传统八字命理数字化,满足特定文化背景用户的情感探索需求
2. 自动化体验:报名一次后,系统自动完成每日匹配与推送,降低用户操作成本
3. 灵活的部署模式:ClawHub 最小安装包轻量便捷,同时支持完整源码自建后端
4. 隐私控制设计:支持「开启/关闭推送」的细粒度控制,用户可随时退出数据收集
潜在缺点与局限性
1. 信任链依赖过重:定时链路将云端返回的 message 字段原样推送至用户渠道,未经本地消毒。若服务端被入侵或数据篡改,渠道可能成为攻击向量
2. 凭证暴露面较宽:LOVECLAW_ADMIN_TOKEN 支持全量档案拉取,高权限凭证若配置不当存在数据泄露风险
3. 外部依赖复杂:依赖 Firebase 等非核心 SDK,增加供应链攻击面;云函数默认端点需用户无条件信任服务商
4. 多租户隔离薄弱:多实例共用云后端时,用户数据未做强隔离,需独立部署实现真正的数据隔离
5. 子进程调用风险:execFileSync 调用 openclaw cron 虽经结构化参数传递,但仍需人工审计确认参数安全性
适合人群
- 对八字命理、传统文化有兴趣的社交探索者
- 希望以轻松方式拓展社交圈、不排斥算法推荐的单身用户
- 具备基本技术能力、能理解并评估「信任云端服务商」安全模型的 OpenClaw 用户
常规风险
| 风险类别 | 具体描述 | 建议缓释措施 |
|---------|---------|------------|
| 供应链风险 | 依赖 Firebase 等第三方 SDK,存在间接依赖漏洞可能 | 定期审计 `package.json`,关注安全通告 |
| 服务端信任风险 | 云端返回内容直接推送,无本地校验 | 仅在高信任环境启用;考虑在发行侧增加内容白名单 |
| 凭证泄露风险 | Token 配置在 `.env` 中,多技能共用工作区时可能误暴露 | 为 LoveClaw 使用独立 workspace/profile,最小权限原则配置 Token |
| 数据持久化风险 | 「取消报名」删除云端数据,但需确认服务商的实际执行策略 | 定期验证删除功能有效性,敏感照片避免上传 |
| 社交工程风险 | 晚间报告推送机制可能被利用进行钓鱼 | 用户端警惕非预期链接,发行侧监控异常推送模式 |