自动在钉钉群中被@时保存群ID和群名,双写至JSON和MEMORY.md实现持久化和跨Session共享。
Security Analysis
medium confidence此技能的行为与其说明书总体一致:在被@时将钉钉群信息写入工作区的 JSON 内存文件,并尝试同步更新 MEMORY.md;没有发现数据外泄或不相称的权限请求,但存在实现细节差异需注意。
技能名和描述(在被@时保存群 ID 与群名并持久化到 memory)与包含的代码/元数据一致:index.js 读取/写入 ~/.openclaw/workspace 下的 JSON 存储并尝试更新 MEMORY.md。没有请求与目的不符的外部凭据或工具。唯一异常是代码在生成的 MEMORY.md 节中写入一条硬编码的“数据来源”路径(/Users/jiangzhiyu/...),这是开发痕迹但并不改变存储行为。
SKILL.md 声称“双写(JSON + MEMORY.md)”,但实现上 index.js 会始终写入 JSON 文件,而对 MEMORY.md 的更新有前提(文件必须存在且包含特定章节/标记),否则会跳过更新。updateMemoryMd 使用章节标题和代码块结束标志来查找替换区域,若 MEMORY.md 格式与预期不符则不会更新。代码没有读取或发送到外部网络,也未访问除 HOME/USERPROFILE 以外的环境变量或其它系统凭据。
无安装规范;技能为 instruction + 单个 JavaScript 文件且不从外部 URL 下载或提取任何二进制,因而不会在安装阶段引入第三方代码或远程依赖。
未声明需要任何密钥或凭据。运行时仅使用 HOME 或 USERPROFILE 环境变量来定位用户的 ~/.openclaw/workspace 路径,这是与其目的相符的最小权限访问。
技能会在用户的 OpenClaw workspace 下创建/写入 memory 文件,这与其“跨 Session 共享长期记忆”的目的匹配。flags 未设置 always:true,也不会修改其他技能或系统范围配置。
Guidance
要点与建议: - 功能与说明基本一致:安装后该技能会在你的主目录下的 ~/.openclaw/workspace/memory/ 创建并写入 dingtalk-groups.json(持久化群信息),并尝试更新同目录下的 MEMORY.md(仅当该文件存在并包含预期章节时才会更新)。 - 注意事项:代码在生成的 MEMORY.md 中插入了一条硬编码的“数据来源”路径(/Users/jiangzhiyu/...),这是开发者残留信息,虽非凭据泄露但显得不规范。若你对此敏感,可在启用前打开 index.js 检查或移除该字符串。 - 兼容性:若你的 MEMORY.md 不包含 SKILL.md 预期的章节或标记,MD 同步会被跳过 —— 这会导致实际行为与文档描述(双写)不完全一致。建议先备份当前 MEMORY.md 和 memory 目录,或在安全环境中测试。 - 隐私与安全:技能不含网络传输代码或第三方依赖,不会把群 ID/群名上传到外部服务;风险主要来自本地文件写入(持久化)。确认是否愿意让技能将群信息写入 ~/.openclaw/workspace 下的文件。
Latest Release
v1.0.0
- Initial release: saves DingTalk group ID and group name to a structured JSON file (`memory/dingtalk-groups.json`) when mentioned in a group. - Triggered automatically only when @-mentioned in a group to avoid logging all groups. - Tracks when each group was first seen, last active, and the number of times mentioned. - Simple and lightweight design for easy integration.
More by @jiangzhiyu
Published by @jiangzhiyu on ClawHub
