skills/keithvassallomt/Openclaw Nextcloud

Openclaw Nextcloud

☁️ 全功能 Nextcloud 智能管家

基于 CalDAV/WebDAV/Notes API 的 Nextcloud 全能管理工具,支持笔记、任务、日历、文件、通讯录的完整读写操作,需严格确认破坏性操作。

收藏
10.6k
安装
3.9k
版本
0.2.1
CLS 安全性认证2026-05-16
点击查看完整报告 >

使用说明

核心功能

OpenClaw Nextcloud Skill 是一个面向自托管云环境的综合管理工具,通过标准开放协议(CalDAV、WebDAV、CardDAV 及专有 Notes API)实现与 Nextcloud 实例的深度集成。覆盖五大核心模块:

  • 笔记管理:创建、编辑、删除 Markdown 笔记,支持分类标签
  • 任务/待办:完整的 VTODO 生命周期管理,优先级与截止日期追踪
  • 日历事件:VEVENT 的增删改查,支持地点与描述字段
  • 文件操作:WebDAV 驱动的上传下载、目录浏览、搜索及公共分享链接管理
  • 通讯录:vCard 格式的联系人管理,多地址簿支持

显著优点

1. 协议标准化:不依赖私有 API,基于广泛支持的开放标准,兼容性好
2. 功能完备:读写能力对称,覆盖个人数据管理的完整场景
3. 安全设计:强制 HTTPS(生产环境)、支持应用密码隔离、无额外网络外联
4. 智能默认:支持记忆用户偏好的默认日历/地址簿,减少重复交互
5. 输出友好:结构化 JSON 配合 Emoji 可视化,适配多平台消息展示

潜在局限与风险

  • 破坏性操作不可逆:删除操作立即生效,无回收站/版本恢复机制
  • 权限粒度粗:应用密码授予账户级全权,无法细粒度限制到特定文件夹或日历
  • 覆盖写入风险:文件上传同名即覆盖,无冲突提示
  • 公共链接暴露shares create-link 可能意外创建可写公共链接,需人工确认
  • 注入风险:笔记/日历描述等用户内容可能含 prompt 注入攻击文本,需当作纯数据处理

适合人群

  • 自托管 Nextcloud 的技术用户与小型团队
  • 需自动化个人数据工作流(如定期备份笔记、批量整理任务)的用户
  • 重视数据主权、拒绝 SaaS 订阅的隐私敏感群体

常规风险

| 场景 | 等级 | 说明 |
|------|------|------|
| 误删数据 | 高 | 无事务/无撤销,确认对话框需严格执行 |
| 凭证泄露 | 中 | 应用密码可独立撤销,降低主账户风险 |
| 网络中间人 | 低 | HTTPS 强制 + 证书验证,localhost 除外 |
| 数据外泄 | 中 | 公共分享链接需确认权限与密码保护 |

安全解读

核心用法

OpenClaw Nextcloud Skill 是一款面向自托管用户的全功能 Nextcloud 客户端工具,通过 Node.js 脚本实现对个人云服务的程序化控制。支持五大核心模块:Notes(笔记)、Tasks(任务/待办)、Calendar(日历事件)、Files(文件管理)与 Contacts(联系人),覆盖日常数字生活的主要数据类型。

使用方法上,该 Skill 通过 node scripts/nextcloud.js <command> <subcommand> 调用,所有操作返回结构化 JSON 数据。设计上强调确认机制——对于删除、编辑、分享等破坏性操作,SKILL.md 明确要求 Agent 在执行前必须二次确认用户,避免误操作。同时支持记忆功能,可为任务、事件、联系人分别设置默认日历/地址簿,减少重复选择。

显著优点

  • 协议标准合规:采用开放的 CalDAV(任务/日历)、CardDAV(联系人)、WebDAV(文件)标准协议,而非私有 API,具备良好的互操作性和长期维护性
  • 安全传输设计:强制 HTTPS(除本地开发外),拒绝明文 HTTP;凭证仅通过环境变量注入,无硬编码风险
  • 精细化权限控制:建议使用 Nextcloud「应用密码」而非主密码,支持独立撤销,降低泄露后的影响范围
  • 无遥测无广告:代码审计确认无第三方追踪、无数据分析上报,纯工具属性
  • 输出格式友好:内置 Agent 行为指南,要求以 emoji 装饰的纯文本格式呈现数据,适配多种消息平台

潜在缺点与局限性

  • 破坏性操作不可逆:删除操作直接永久生效,无回收站/废纸篓语义(这是 Nextcloud DAV API 的限制,非 Skill 本身问题)
  • 凭证粒度无法细化:应用密码获得的是账户级权限,无法限制为「仅访问特定文件夹」或「仅读取日历」
  • 依赖 Node.js 20+ 环境:对运行环境有版本要求,老旧系统可能需要升级
  • 个人开发者维护:作者为个人账号,长期维护承诺、安全响应速度存在不确定性

适合人群

  • 自托管 Nextcloud 用户:拥有个人/家庭服务器,希望通过 AI Agent 自动化管理云数据
  • 隐私优先用户:不愿将笔记、日历等敏感数据交给商业云服务(Notion、Google Calendar 等)
  • 技术能力较强的用户:能理解环境变量配置、应用密码生成、HTTPS 证书管理等基础运维操作

常规风险

| 风险类型 | 具体表现 | 缓解措施 |
|---------|---------|---------|
| 凭证泄露 | NEXTCLOUD_TOKEN 被窃取导致账户完全沦陷 | 使用应用密码、定期轮换、环境隔离 |
| 误删除数据 | 误执行 delete 命令导致文件/笔记永久丢失 | 操作前二次确认、定期备份 |
| 分享链接失控 | 创建的可编辑公开链接被恶意利用 | 默认只读权限、设置密码和过期时间 |
| 中间人攻击 | HTTPS 配置不当导致传输被窃听 | 验证证书有效性、避免自签证书裸奔 |
| 内容注入攻击 | 笔记/文件中的恶意指令被 Agent 误执行 | 按 SKILL.md 要求,将内容视为数据而非命令 |
nextcloudcaldavwebdavcarddavself-hostednotescalendartasksfilescontactsprivacy

Openclaw Nextcloud 内容

scripts文件夹
手动下载zip · 116.4 kB
nextcloud.jstext/javascript
请选择文件