跳到主要内容

Skills

先决条件

功能菜单:具备 AI 工作台 / Skill 功能菜单权限

操作权限:具备AI工作台的读写权限

模型配置:导入 Skill 时需要模型列表中已存在至少一个 LLM,用于导入校验;若模型为空,导入时将提示添加模型后再操作

概述

  • Skill 是 Bonree ONE AI 工作台中封装了特定操作能力的可复用单元,由平台内置或用户从外部导入。智能体在执行任务时可以调用 Skill,完成发送通知、创建工单、推送日志等具体操作动作,是智能体能力扩展的重要组成部分。也可以在小睿AI中直接选择Skill快速调用。
  • 平台支持两类来源 Skill:内置 Skill 由平台预置,开箱即用,部分需配置渠道等参数后方可调用;导入 Skill 由用户上传符合 OpenClaw 规范的 zip/skill 包,经过 LLM 安全规范校验后导入,支持编辑和删除。

价值

能力即插即用,快速扩展智能体

内置 Skill 无需开发,配置参数后即可在智能体中调用,大幅降低智能体能力扩展的门槛,让运维动作标准化、可复用。

开放导入,满足个性化扩展需求

支持将符合 OpenClaw 规范的第三方 Skill 导入平台,用户可根据实际业务需求自由扩展智能体的操作能力边界,不受平台内置范围限制。但请注意遵循安全规范!

统一管理,降低维护成本

Skill 在统一的列表页中集中展示和管理,无论内置还是导入,均可在此查看详情,需配置参数的内置skill可以进行配置操作,导入的可以编辑、删除,智能体调用时直接引用,无需重复配置。

专属参数覆盖,支持多智能体差异化配置

内置 Skill 支持在全局配置基础上,为特定智能体设置专属参数,满足同一 Skill 在不同智能体中使用不同接收地址或凭证的需求。

使用场景

以下场景仅供参考,建议根据您的使用习惯定义、调用智能体。

告警通知推送

故障诊断等智能体完成分析后,通过调用「发送钉钉通知」或「发送企业微信通知」等Skill,将诊断摘要和修复建议自动推送至运维群,无需人工转述,提升响应速度。

工单自动创建

当智能体判断需要跟进处理时,调用「创建工单」Skill,自动向内网工单系统提交工单,并填充告警信息和建议处理方式,实现告警到工单的全程自动化。

运维日志归档

智能体执行巡检或诊断任务后,调用「推送运维日志」Skill,将执行结果自动写入内部日志系统,形成可追溯的操作记录,便于事后审计和知识沉淀。

自定义业务能力接入

当平台内置 Skill 无法满足特定业务需求时,用户可将符合OpenClaw规范的自研或第三方的 Skill zip 包导入平台,经校验后供智能体调用,实现与内部系统的深度集成。

操作场景

  • 查看 Skill 列表:在 Skill 列表页以卡片形式浏览所有内置和已导入的 Skill,可通过关键字搜索和来源过滤快速定位目标 Skill。
  • 查看 Skill 详情:点击 Skill 卡片,在右侧抽屉中查看该 Skill 的完整信息,包括名称、描述、来源、配置参数(内置 Skill)及文件预览(导入 Skill)。
  • 配置内置 Skill 参数:点击内置 Skill 卡片,在详情抽屉中点击「配置」按钮,填写所需的渠道地址、凭证等参数后保存,配置完成后方可在智能体中正常调用。
  • 导入外部 Skill:点击列表页顶部的「导入」按钮,上传符合 OpenClaw 规范的 zip 包,系统使用 LLM 进行安全规范校验,校验通过后自动导入并置顶显示;校验失败时展示详细失败原因,支持重新上传。
  • 编辑导入 Skill:点击导入 Skill 卡片,在详情抽屉中点击「编辑」按钮,可修改名称、描述等信息。内置 Skill 不支持编辑。
  • 在智能体中调用 Skill:在智能体编排页面添加 Skill 后,可为该智能体配置专属参数覆盖全局配置;若专属参数为空,则调用时使用 Skill 全局配置值。

开始使用

查看与管理 Skill

  • 登录 Bonree ONE 平台。
  • 在左侧导航中选择 AI 工作台 Skill,进入 Skill 列表页。
  • 列表以卡片形式展示所有内置和已导入的 Skill,卡片显示名称、描述、来源标签及配置状态。
  • 点击任意 Skill 卡片,在右侧抽屉中查看完整详情。

image-20260610174309203

配置内置 Skill

  • 在 Skill 列表中找到需要配置的内置 Skill,点击卡片中的配置按钮打开配置详情抽屉。
  • 在弹出的配置区域填写渠道地址、密钥等必要参数。
  • 保存配置后,该 Skill 状态变为「已配置」,即可在智能体中正常调用。
  • 若某智能体需要使用不同的参数(如特定群的 Webhook 地址),可在智能体编排页面的该 Skill 下填写专属参数进行覆盖。

image-20260610174354806

导入外部 Skill

  • 在 Skill 列表页,点击「导入」按钮。
  • 在弹出的表单中,上传符合 OpenClaw 规范的 Skill zip 包,并填写名称和描述(默认取包内 name/description 字段)。
  • 点击「导入」,系统使用当前小睿 AI 选择的 LLM 进行安全规范校验。若模型未配置,请先前往模型列表添加 LLM。
  • 校验通过后,Skill 自动导入,卡片置顶显示,来源标签为「导入」。
  • 校验失败时,系统展示详细失败原因,可根据提示修改后重新上传。

image-20260610174229681

Skill校验规范

1. zip 合法性校验类

检查项说明
上传包体为空拦截。包内无字节。
外层文件名后缀拦截。上传文件名须以 .zip 或 .skill 结尾(只看外层包名)。
外层包体积拦截。默认上限 10MB,配置 skill.import.max_package_mb。
无法打开 zip拦截。非合法 zip 文件(BadZipFile)。
zip 内无文件拦截。压缩包内没有任何文件条目。
zip 条目加密拦截。不支持加密压缩条目。
路径为绝对路径拦截。成员路径不能以 / 开头或为绝对路径。
路径含 ..拦截。路径段中不允许出现 ..。
目录层级超限拦截。默认最多 5 级(zip 根之后的嵌套),Nacos配置 max_dir_depth。
单文件过大拦截。单文件未压缩大小默认上限 10MB,Nacos配置 max_single_file_mb。
压缩比过高(zip 炸弹)拦截。单条 file_size/compress_size 默认不超过 50 倍,Nacos配置 max_compress_ratio。
解压后总大小超限拦截。包内所有文件未压缩大小之和默认上限 100MB,Nacos配置 max_total_unzip_mb。

2. skill-vetter 类

Skill-Vetter 由 LLM 按内置 skill-vetter 协议对上传包做静态安全审查。网关只解析最后一轮报告正文中的 VERDICT/NOTES,归一化为「可安装」才放行。审查为离线静态检查,不执行待导入包内脚本。

2.1 前置与运行条件

检查项说明
租户无可用 LLM拦截。
vetter 调用超时拦截。单次审查默认超时 120 秒。
限流/上下文超限且无备用模型拦截。可自动切换其它 LLM 重试,耗尽后失败。
vetter 调用其它异常拦截。非可重试类错误直接失败。
单文件纳入提示词上限不拦截。单文件最多约 24000 字符,超出部分截断并标记。
提示词总字符预算不拦截。全包合计约 120000 字符,超出文件标记为 omitted。
忽略目录/文件不扫描。pycache/.git/.svn/node_modules/.DS_Store/.pyc 等跳过。

2.2 REJECT 级红旗(发现即 DO NOT INSTALL)

检查项说明
curl/wget 到未知 URL拦截。含向不明地址下载。
向外部服务器发送数据拦截。数据外泄行为。
请求凭据/token/API key拦截。诱导收集密钥。
读取 /.ssh、/.aws、~/.config 无明确理由拦截。敏感目录访问。
访问 MEMORY.md / USER.md / SOUL.md / IDENTITY.md拦截。Agent 私有记忆文件。
对任意内容 base64 解码拦截。常见混淆/载荷手法。
eval()/exec() 配合外部输入拦截。任意代码执行。
修改工作区外系统文件拦截。越界写盘。
安装依赖但未列出拦截。隐蔽安装行为。
网络请求使用 IP 而非域名拦截。可疑 C2 特征。
混淆代码(压缩/编码/最小化隐藏意图)拦截。
请求 sudo/提权拦截。
访问浏览器 cookie/session拦截。
触碰凭据文件拦截。如 id_rsa、.env、docker/config.json、kubeconfig 等。

2.3 扩展高危命令模式(须全包扫描)

检查项说明
破坏性文件操作拦截。rm -rf、del /f /s /q、Remove-Item -Recurse -Force、shred 等。
磁盘/文件系统操作拦截。dd if=、mkfs、fdisk、diskpart、format 等。
提权/持久化拦截。sudo、runas、crontab、schtasks、systemctl enable、reg add 等。
任意代码执行拦截。eval、exec、bash -c、powershell -Command、python -c(外部输入) 等。
下载并执行拦截。curl|sh、wget|sh、Invoke-WebRequest|iex、certutil 下载等。
凭据/密钥采集拦截。读取 ~/.ssh/*、id_rsa、known_hosts、.env 等。
外泄通道拦截。nc/ncat/socat、scp/rsync 到未知主机、异常 webhook 等。
防火墙/网络篡改拦截。iptables、ufw、netsh advfirewall、篡改 DNS/route 等。
多处相似命令拦截。存在任一 REJECT 级命中即拒绝,须扫描全部出现位置。

2.4 来源、权限与 OAuth 评估

检查项说明
来源可信度评估不拦截。审查来源/作者/仓库/更新时间,ClawdHub 官方≠自动安全。
OAuth/SaaS 文档化不拦截。文档说明用户自建 GOOGLE_/AZURE_ 等凭据,最小权限 → 通常 INSTALL WITH CAUTION。
硬编码密钥/诱导粘贴 token拦截。要求密钥写入仓库或发到不可信端点。
广域 OAuth 仅因要授权不拦截。Gmail/Drive 等广域 OAuth 默认 MEDIUM~HIGH,文档清晰则 CAUTION 而非直接拒绝。
curl|sh 配合 OAuth 说明拦截。文档化 OAuth 与下载执行链组合为高危。

3. zip 包内文件校验

在解压到磁盘之前,通过读取 zip 内条目完成校验(规则校验,非 LLM)。

3.1 SKILL.md 类校验

检查项说明
文件名大小写拦截。必须 exactly「SKILL.md」,skill.md 等不匹配。
主清单必须存在拦截。须在 zip 根目录 SKILL.md,或唯一顶层目录下的顶层/SKILL.md;更深路径的 SKILL.md 不能作为主清单。
多个 SKILL.md取路径最浅的一条作为主清单(同深度按路径字典序),不单独报错。
平铺包结构zip 根目录存在 SKILL.md 时,允许多个顶层项(如 scripts/、references/),不要求顶层文件夹名与 slug 一致。
单文件夹包结构根目录无 SKILL.md 时,所有文件须在同一顶层目录下;拦截若存在多个顶层目录。
单文件夹顶层目录名拦截。顶层目录名须等于 SKILL.md 中的 slug(未写 slug 则用 name)。
SKILL.md 编码拦截。须为 UTF-8。
YAML front matter拦截。文件开头的name,description等基础信息,须包裹在--- ---中,---包裹的内容,必须是合法 YAML 元数据块。
name拦截。必填;最长 64 字符;正则 ^[a-z0-9]+(?:-[a-z0-9]+)*$(数字或小写字母开头;支持小写字母 / 数字 / -;不可首尾连字符、不可连续连字符;与顶层文件夹名完全一致)。
slug若填写则同 name 规则;未填写时自动 slug=name。
description拦截。必填;长度 1~1024 字符。

3.2 文件白名单校验

检查项说明
允许的文件扩展名(默认 31 种).cfg/.cjs/.conf/.css/.csv/.gif/.htm/.html/.ico/.ini/.jpeg/.jpg/.js/.json/.jsx/.md/.mjs/.png/.py/.rst/.sh/.sql/.svg/.toml/.ts/.tsv/.tsx/.txt/.webp/.yaml/.yml
允许的无扩展名文件license/copying/makefile/dockerfile/gemfile/rakefile/procfile/jenkinsfile(不区分大小写)
允许的点配置文件.gitignore/.dockerignore/.editorconfig/.npmrc/.nvmrc(完整文件名匹配)
SKILL.md豁免后缀白名单,但仍须满足 3.1 全部规则。
忽略名单(不拦截、落盘后删除)**MACOSX/**pycache__/.git/.svn/.DS_Store/desktop.ini/Thumbs.db/._*/.pyc/.pyo;校验阶段跳过,不算白名单允许类型。
双后缀文件仅认最后一段扩展名,如 archive.tar.gz 只认 .gz,默认不在白名单则拦截。
后缀不在白名单拦截。如 .exe/.pdf/.zip/.ps1/.env 等;可通过 Nacos skill.import.allowed_suffix 扩展。

3.3 脚本危险内容扫描(规则引擎)

检查项说明
扫描范围仅 .sh/.py/.js/.mjs/.cjs/.ts/.tsx/.jsx 且文件大小大于0;.md/.json 等文档不扫描。
.sh 脚本拦截。如 rm -rf、curl|sh、mkfs、dd、chattr 等高危模式。
代码文件拦截。如 os.system、subprocess(shell=True)、eval、exec、child_process 等。
敏感路径/密钥引用拦截。如 /etc/shadow、~/.ssh、PRIVATE KEY 等。

3.4 解压与其它校验

检查项说明
解压路径安全拦截。禁止绝对路径、..、解压目标逃出目录。
解压后缺少 SKILL.md拦截。平铺到 skill 目录后须存在 SKILL.md
同环境 slug 重复拦截。同一 account_id + env_id 下 slug 不可重复。
与内置 skill 冲突拦截。name 或 slug 不得与全局内置 skill 重复。
icon拦截。空则通过;短字符串无注入特征则通过;否则须为合法 base64 图片。
鉴权维度拦截。须具备 account_id、env_id、resource_zone_id。