skills/qidu/Wecom

Wecom

📢 企业微信消息一键推送,团队通知自动化

企业微信机器人消息推送工具,支持文本、Markdown富文本格式,适用于团队通知与自动化告警场景

收藏
18.7k
安装
4.4k
版本
1.0.3
CLS 安全性认证2026-05-03
点击查看完整报告 >

使用说明

核心用法

WeCom Skill 是基于 MCP 协议的企业微信消息推送工具,通过配置 Webhook URL 实现与 Claude Code、Claude Desktop 等客户端的集成。该工具提供三种消息发送方式:

1. send_wecom_message:发送纯文本消息,支持@指定成员
2. send_wecom_markdown_v2:推荐使用的富文本消息,支持表格、代码块、多级引用、H1-H3标题等完整 Markdown 语法
3. send_wecom_markdown(v1):仅支持基础格式(加粗、斜体、删除线、链接、图片等),不支持表格和代码块

用户需在 ~/.config/claude_code/mcp.json 中配置 Node 命令路径和 WECOM_WEBHOOK_URL 环境变量,重启后即可调用工具。

显著优点

  • 开箱即用:基于官方 Webhook API,无需复杂认证流程
  • 格式丰富:Markdown v2 支持完整的办公场景需求(数据报表、代码分享、多级引用)
  • 生态兼容:适配 Claude Code、Claude Desktop 及任意 MCP 客户端
  • 团队协同:支持群聊机器人模式,可@特定成员实现精准通知

潜在缺点与局限性

  • 依赖外部服务:企业微信 API 可用性直接影响功能,存在网络延迟风险
  • Webhook 泄露风险:URL 包含密钥,若配置不当可能导致消息被恶意推送
  • 格式兼容性:Markdown v2 为企业微信私有扩展,与其他平台 Markdown 存在差异
  • 功能边界:仅支持单向推送,无法接收群聊消息或实现交互式对话

适合人群

  • 需要向企业微信群自动推送通知的开发者/运维人员
  • 使用 Claude Code 进行开发,希望将 AI 输出直接同步到团队群聊的用户
  • 构建内部自动化工作流(CI/CD 告警、数据日报、监控提醒)的技术团队

常规风险

| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 密钥泄露 | Webhook URL 包含 `key` 参数,泄露后他人可向群内发送消息 | 将 URL 存储于环境变量或密钥管理系统,避免硬编码 |
| API 限流 | 企业微信对调用频率有限制,高频场景可能触发限流 | 合理设置超时参数 `WECOM_TIMEOUT_MS`,实现退避重试 |
| 消息审计 | 群聊消息对企业可见,敏感信息推送需谨慎 | 避免在消息中暴露数据库密码、API Key 等机密 |
| 依赖单点 | 服务完全依赖腾讯企业微信平台 | 关键告警建议配置多通道备份(如同时推送邮件/短信) |

安全解读

核心功能

WeCom Skill 是一个基于 MCP(Model Context Protocol)协议的轻量级消息发送工具,专为企业微信(WeCom)设计。它通过官方 Webhook 接口,允许 Claude Code、Claude Desktop 等 MCP 客户端向企业微信群聊推送文本或 Markdown 格式消息。该 Skill 提供两种消息发送工具:send_wecom_message 用于基础文本消息(支持@成员),send_wecom_markdown_v2 用于富格式消息(支持表格、代码块、多级引用、标题层级等)。

显著优点

  • 功能聚焦:单一用途设计,无冗余功能,学习成本低
  • Markdown v2 支持:相比 v1 大幅提升排版能力,适合发送结构化报告、数据表格、技术文档
  • 标准协议:遵循 MCP 规范,与 Claude 生态无缝集成
  • 隐私合规:仅收集功能必需的 Webhook URL,符合 GDPR 数据最小化原则
  • 传输安全:仅访问腾讯企业微信官方 API,全程 HTTPS 加密(TLS 1.2+)

局限性与风险

  • 依赖漏洞:依赖的 @modelcontextprotocol/sdk 存在高危 CVE(GHSA-345p-7cg4-v4c7,CVSS 7.1),可能导致跨客户端数据泄露,需立即升级至 >=1.25.4
  • T3 来源等级:个人/社区项目,维护者信息不明确,长期安全更新存在不确定性
  • 数据外传:消息内容将离开本地环境存储于腾讯服务器,不适合发送敏感机密信息
  • 缺乏输入验证:当前未对 Webhook URL 格式进行校验,存在误配置风险
  • 消息长度限制:企业微信 API 对单条消息长度有限制,代码层未做预校验

适合人群

  • 企业团队需要将 Claude 输出自动推送至微信群的场景(如日报、告警、会议纪要)
  • 已有企业微信基础设施、熟悉 Webhook 配置的技术团队
  • 对数据外发有清晰认知、不处理高度敏感信息的自动化工作流

常规风险管控建议

1. 立即修复 CVE:执行 npm update @modelcontextprotocol/sdk 并验证修复
2. URL 白名单验证:部署前建议添加正则校验,确保 Webhook URL 符合 qyapi.weixin.qq.com 官方域名
3. 内容分级:建立敏感信息清单,禁止通过该渠道发送密钥、客户隐私数据等
4. 定期审计:将 npm audit 纳入 CI/CD 流程,监控新增漏洞

wecomwebhooknotificationenterprisemessagingmarkdownteam-collaborationautomationclaude-codemcp

Wecom 内容

dist文件夹
src文件夹
手动下载zip · 21.4 kB
index.d.tstext/plain
请选择文件