| 问题类型 | 风险等级 | 解决方案 |
|---|---|---|
| ---------- | ---------- | ------------ |
| 硬编码 API Keys | 🔴 高 | 使用环境变量 |
| HTTP 明文传输 | 🟡 中 | 添加安全警告说明 |
| 外部 URL/端点 | 🟢 低 | 正常发布 |
| 敏感信息 | 🔴 高 | 移除或环境变量 |
| 未声明环境变量 | 🔴 高 | 在 YAML front matter 中声明 |
# ❌ 硬编码(会被扫描拦截)
API_KEY = "sk-xxx"
# ✅ 环境变量(安全)
API_KEY = os.environ.get("API_KEY")
## ⚠️ 安全警告
- HTTP 明文传输,API Key 可能有泄露风险
- 仅在可信网络使用
这是最重要的一步!如果不在 front matter 中声明,安全扫描会报警告:
---
name: my-skill
version: 1.0.0
description: 使用某个 API 的技能
metadata:
openclaw:
requires:
env:
- MY_API_KEY # 必需的环境变量
- MY_OPTIONAL_URL # 可选的环境变量
primaryEnv: MY_API_KEY # 主要认证凭据
---
关键点:
requires.env:列出所有需要的环境变量primaryEnv:指定主要认证凭据(API Key)## 环境变量
- MY_API_KEY=xxx # 必需
- MY_OPTIONAL_URL=http://example.com # 可选
如果发布时遇到错误:acceptLicenseTerms: invalid value
说明你需要先在 ClawHub 网站上同意开发者协议:
# 方式一:使用 clawhub CLI(需要先在网站同意开发者协议)
clawhub publish ./skills/your-skill --version 1.0.0
# 方式二:使用 curl 直接发布(支持 acceptLicenseTerms)
TOKEN=$(cat ~/.config/clawhub/config.json | jq -r '.token')
curl -X POST "https://clawhub.ai/api/v1/skills" \
-H "Authorization: Bearer $TOKEN" \
-F 'payload={"slug":"your-skill","displayName":"Your Skill","version":"1.0.0","changelog":"","tags":["latest"],"acceptLicenseTerms":true};type=application/json' \
-F "files=@SKILL.md;filename=SKILL.md"
注意:acceptLicenseTerms: true 是必需的参数,表示同意开发者许可协议。
# 搜索 Skill
clawhub search your-skill-name
# 检查状态
clawhub inspect your-skill-name
A: 等待安全扫描通过,或移除敏感信息重新发布
A: 改用环境变量,添加安全警告
A: 升级版本号,如 1.0.0 → 1.0.1
A: 先在 ClawHub 网站上同意开发者协议,然后再发布
A: 在 YAML front matter 中添加 metadata.openclaw.requires.env 声明:
metadata:
openclaw:
requires:
env:
- YOUR_API_KEY
primaryEnv: YOUR_API_KEY
A: 同上,你需要在 front matter 中声明环境变量。即使代码中已经使用了 os.environ.get(),也必须在元数据中声明,否则 ClawHub 无法正确识别。
共 3 个版本