skills/manifoldor/Wechat Connect

Wechat Connect

💬 微信一键接入 · 官方生态授权

integration榜 #10

OpenClaw 官方微信插件一键安装工具,通过扫码完成账号配对,实现微信与 AI 助手的无缝连接,全程无需命令行操作。

收藏
22.1k
安装
4.8k
版本
2.0.1
CLS 安全性认证2026-05-15
点击查看完整报告 >

使用说明

核心用法

Wechat Connect 是一款专为 OpenClaw 设计的微信生态接入工具,核心功能是将用户的微信账号与 OpenClaw AI 助手完成官方授权绑定。用户通过自然语言指令(如"安装微信插件""微信扫码")触发流程后,系统自动完成插件检测、二维码生成、本地服务启动、状态轮询及账号持久化等全链路操作。

技术实现上,该 skill 调用微信 ilink 官方 API 获取登录二维码,使用 Node.js 原生 http 模块搭建本地服务(端口 8765),通过浏览器展示五步引导页,并每 3 秒轮询扫码状态。成功登录后,自动配置 OpenClaw 的 channel 参数,启用微信消息接收能力。

显著优点

1. 零门槛交互:全程图形化界面,彻底消除命令行障碍,普通用户可独立完成配置
2. 官方生态对接:基于微信 ilink 官方 API,非第三方破解方案,合规性有保障
3. 状态实时同步:本地 HTTP 服务 + WebSocket 式轮询,扫码状态即时反馈
4. 自动化配置:成功后自动写入账号文件、更新索引、启用通道并设置白名单策略

潜在缺点与局限性

  • 前置依赖复杂:需预装 @tencent-weixin/openclaw-weixin-cli 插件,首次使用仍需一次终端操作
  • 本地服务局限:固定端口 8765,若被占用需手动处理;服务仅本地可访问,无法远程扫码
  • 超时机制刚性:5 分钟二维码有效期、5 分钟整体超时,网络波动可能导致中断
  • 平台绑定风险:账号数据存储于本地 JSON 文件,无加密说明;token 与 ilink_bot_id 绑定,迁移受限

适合人群

  • OpenClaw 用户希望扩展微信消息接收能力
  • 不熟悉命令行操作、偏好图形化配置的普通用户
  • 需要合规使用微信官方 Bot 接口的开发者

常规风险

1. npm 安全警告:插件安装阶段会触发"危险代码模式"警告(环境变量 + 网络发送组合),虽为官方设计但仍需警惕供应链攻击
2. 本地服务暴露:8765 端口虽仅本地监听,但若主机存在代理或端口转发配置,可能意外暴露
3. 会话劫持风险:状态文件 /tmp/weixin-login-status.json 以明文存储,多用户环境存在权限竞争隐患
4. 微信账号合规:需确保使用场景符合微信开放平台规范,避免触发风控限制

安全解读

核心用法

Wechat Connect 是 OpenClaw 生态的微信插件连接工具,通过二维码扫描完成账号授权配对。用户触发"安装微信插件"或"微信扫码"指令后,Skill 自动检测插件状态、生成登录二维码、启动本地 HTTP 服务展示引导页面,并实时轮询扫码结果。配对成功后自动配置 OpenClaw 渠道参数,无需用户手动编辑配置文件。

显著优点

  • 零命令行体验:全程可视化操作,生成 5 步骤横向引导页,降低技术门槛
  • 官方 API 对接:直接调用微信 ilink 官方接口(*.weixin.qq.com),非第三方代理,数据传输可信
  • 自动化配置:成功登录后自动执行 openclaw config set 更新渠道配置,包括白名单策略设置
  • 实时状态反馈:3 秒轮询机制,页面动态展示 wait/scaned/confirmed/expired 四种状态
  • 依赖精简:以 Node.js 内置模块为主,仅依赖知名 qrcode

潜在缺点与局限性

  • T3 来源可信度:维护者为个人开发者(linyishan@qq.com),无组织背书,代码未开源托管,缺乏社区审查历史
  • 子进程执行风险:使用 execSync 拼接 userId 到配置命令,存在潜在命令注入(当前代码未对输入做严格过滤)
  • 敏感凭证明文存储:微信 token、userId 以 JSON 明文形式写入 ~/.openclaw/openclaw-weixin/accounts/,依赖文件系统权限保护
  • 隐私政策缺失:未说明数据收集范围、保留期限、用户删除权利等合规要素
  • 硬编码配置:HTTP 端口(8765)、API 端点等不可自定义,存在端口冲突可能
  • CORS 宽松:本地服务配置 Access-Control-Allow-Origin: *,扩大了潜在的 XSS 攻击面

适合人群

  • 需要将微信接入 OpenClaw 自动化工作流的个人用户
  • 愿意接受 T3 来源风险、具备基础代码审查能力的开发者
  • 不适合:企业级生产环境、对隐私合规有严格要求的场景、无技术背景且安全意识薄弱的用户

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| 命令注入 | 中 | `userId` 直接拼接到 `execSync`,需确保微信 API 返回数据可信 |
| 凭证泄露 | 中 | 本地明文存储 token,系统被入侵时可被窃取 |
| 隐私合规 | 低-中 | 无隐私政策文档,GDPR/CCPA 合规存疑 |
| 供应链 | 低 | 依赖 `@tencent-weixin/openclaw-weixin` 插件包,需信任腾讯分发渠道 |
| 网络暴露 | 低 | 本地 HTTP 服务绑定 8765 端口,虽限于 localhost 但 CORS 配置过宽 |

安全建议:生产环境使用前建议审查 start.mjs 第 449-452 行(execSync 调用)和第 424-432 行(凭证存储逻辑),考虑 fork 后自行加固。

wechatmessagingqr-codeofficial-apisocialbot-integrationtencent

Wechat Connect 内容

scripts文件夹
手动下载zip · 7.8 kB
start.mjstext/javascript
请选择文件