Skills
先决条件
功能菜单:具备 AI 工作台 / Skill 功能菜单权限
操作权限:具备AI工作台的读写权限
模型配置:导入 Skill 时需要模型列表中已存在至少一个 LLM,用于导入校验;若模型为空,导入时将提示添加模型后再操作
概述
- Skill 是 Bonree ONE AI 工作台中封装了特定操作能力的可复用单元,由平台内置或用户从外部导入。智能体在执行任务时可以调用 Skill,完成发送通知、创建工单、推送日志等具体操作动作,是智能体能力扩展的重要组成部分。也可以在小睿AI中直接选择Skill快速调用。
- 平台支持两类来源 Skill:内置 Skill 由平台预置,开箱即用,部分需配置渠道等参数后方可调用;导入 Skill 由用户上传符合 OpenClaw 规范的 zip/skill 包,经过 LLM 安全规范校验后导入,支持编辑和删除。
价值
能力即插即用,快速扩展智能体
内置 Skill 无需开发,配置参数后即可在智能体中调用,大幅降低智能体能力扩展的门槛,让运维动作标准化、可复用。
开放导入,满足个性化扩展需求
支持将符合 OpenClaw 规范的第三方 Skill 导入平台,用户可根据实际业务需求自由扩展智能体的操作能力边界,不受平台内置范围限制。但请注意遵循安全规范!
统一管理, 降低维护成本
Skill 在统一的列表页中集中展示和管理,无论内置还是导入,均可在此查看详情,需配置参数的内置skill可以进行配置操作,导入的可以编辑、删除,智能体调用时直接引用,无需重复配置。
专属参数覆盖,支持多智能体差异化配置
内置 Skill 支持在全局配置基础上,为特定智能体设置专属参数,满足同一 Skill 在不同智能体中使用不同接收地址或凭证的需求。
使用场景
以下场景仅供参考,建议根据您的使用习惯定义、调用智能体。
告警通知推送
故障诊断等智能体完成分析后,通过调用「发送钉钉通知」或「发送企业微信通知」等Skill,将诊断摘要和修复建议自动推送至运维群,无需人工转述,提升响应速度。
工单自动创建
当智能体判断需要跟进处理时,调用「创建工单」Skill,自动向内网工单系统提交工单,并填充告警信息和建议处理方式,实现告警到工单的全程自动化。
运维日志归档
智能体执行巡检或诊断任务后,调用「推送运维日志」Skill,将执行结果自动写入内部日志系统,形成可追溯的操作记录,便于事后审计和知识沉淀。
自定义业务能力接入
当平台内置 Skill 无法满足特定业务需求时,用户可将符合OpenClaw规范的自研或第三方的 Skill zip 包导入平台,经校验后供智能体调用,实现与内部系统的深度集成。
操作场景
- 查看 Skill 列表:在 Skill 列表页以卡片形式浏览所有内置和已导入的 Skill,可通过关键字搜索和来源过滤快速定位目标 Skill。
- 查看 Skill 详情:点击 Skill 卡片,在右侧抽屉中查看该 Skill 的完整信息,包括名称、描述、来源、配置参数(内置 Skill)及文件预览(导入 Skill)。
- 配置内置 Skill 参数:点击内置 Skill 卡片,在详情抽屉中点击「配置」按钮,填写所需的渠道地址、凭证等参数后保存,配置完成后方可在智能体中正常调用。
- 导入外部 Skill:点击列表页顶部的「导入」按钮,上传符合 OpenClaw 规范的 zip 包,系统使用 LLM 进行安全规范校验,校验通过后自动导入并置顶显示;校验失败时展示详细失败原因,支持重新上传。
- 编辑导入 Skill:点击导入 Skill 卡片,在详情抽屉中点击「编辑」按钮,可修改名称、描述等信息。内置 Skill 不支持编辑。
- 在智能体中调用 Skill:在智能体编排页面添加 Skill 后,可为该智能体配置专属参数覆盖全局配置;若专属参数为空,则调用时使用 Skill 全局配置值。
开始使用
查看与管理 Skill
- 登录 Bonree ONE 平台。
- 在左侧导航中选择 AI 工作台 Skill,进入 Skill 列表页。
- 列表以卡片形式展示所有内置和已导入的 Skill,卡片显示名称、描述、来源标签及配置状态。
- 点击任意 Skill 卡片,在右侧抽屉中查看完整详情。

配置内置 Skill
- 在 Skill 列表中找到需要配置的内置 Skill,点击卡片中的配置按钮打开配置详情抽屉。
- 在弹出的配置区域填写渠道地址、密钥等必要参数。
- 保存配置后,该 Skill 状态变为「已配置」,即可在智能体中正常调用。
- 若某智能体需要使用不同的参数(如特定群的 Webhook 地址),可在智能体编排页面的该 Skill 下填写专属参数进行覆盖。

导入外部 Skill
- 在 Skill 列表页,点击「导入」按钮。
- 在弹出的表单中,上传符合 OpenClaw 规范的 Skill zip 包,并填写名称和描述(默认取包内 name/description 字段)。
- 点击「导入」,系统使用当前小睿 AI 选择的 LLM 进行安全规范校验。若模型未配置,请先前往模型列表添加 LLM。
- 校验通过后,Skill 自动导入,卡片置顶显示,来源标签为「导入」。
- 校验失败时,系统展示详细失败原因,可根据提示修改后重新上传。

Skill校验规范
1. zip 合法性校验类
| 检查项 | 说明 |
|---|---|
| 上传包体为空 | 拦截。包内无字节。 |
| 外层文件名后缀 | 拦截。上传文件名须以 .zip 或 .skill 结尾(只看外层包名)。 |
| 外层包体积 | 拦截。默认上限 10MB,配置 skill.import.max_package_mb。 |
| 无法打开 zip | 拦截。非合法 zip 文件(BadZipFile)。 |
| zip 内无文件 | 拦截。压缩包内没有任何文件条目。 |
| zip 条目加密 | 拦截。不支持加密压缩条目。 |
| 路径为绝对路径 | 拦截。成员路径不能以 / 开头或为绝对路径。 |
| 路径含 .. | 拦截。路径段中不允许出现 ..。 |
| 目录层级超限 | 拦截。默认最多 5 级(zip 根之后的嵌套),Nacos配置 max_dir_depth。 |
| 单文件过大 | 拦截。单文件未压缩大小默认上限 10MB,Nacos配置 max_single_file_mb。 |
| 压缩比过高(zip 炸弹) | 拦截。单条 file_size/compress_size 默认不超过 50 倍,Nacos配置 max_compress_ratio。 |
| 解压后总大小超限 | 拦截。包内所有文件未压缩大小之和默认上限 100MB,Nacos配置 max_total_unzip_mb。 |
2. skill-vetter 类
Skill-Vetter 由 LLM 按内置 skill-vetter 协议对上传包做静态安全审查。网关只解析最后一轮报告正文中的 VERDICT/NOTES,归一化为「可安装」才放行。审查为离线静态检查,不执行待导入包内脚本。
2.1 前置与运行条件
| 检查项 | 说明 |
|---|---|
| 租户无可用 LLM | 拦截。 |
| vetter 调用超时 | 拦截。单次审查默认超时 120 秒。 |
| 限流/上下文超限且无备用模型 | 拦截。可自动切换其它 LLM 重试,耗尽后失败。 |
| vetter 调用其它异常 | 拦截。非可重试类错误直接失败。 |
| 单文件纳入提示词上限 | 不拦截。单文件最多约 24000 字符,超出部分截断并标记。 |
| 提示词总字符预算 | 不拦截。全包合计约 120000 字符,超出文件标记为 omitted。 |
| 忽略目录/文件 | 不扫描。pycache/.git/.svn/node_modules/.DS_Store/.pyc 等跳过。 |
2.2 REJECT 级红旗(发现 即 DO NOT INSTALL)
| 检查项 | 说明 |
|---|---|
| curl/wget 到未知 URL | 拦截。含向不明地址下载。 |
| 向外部服务器发送数据 | 拦截。数据外泄行为。 |
| 请求凭据/token/API key | 拦截。诱导收集密钥。 |
| 读取 | 拦截。敏感目录访问。 |
| 访问 MEMORY.md / USER.md / SOUL.md / IDENTITY.md | 拦截。Agent 私有记忆文件。 |
| 对任意内容 base64 解码 | 拦截。常见混淆/载荷手法。 |
| eval()/exec() 配合外部输入 | 拦截。任意代码执行。 |
| 修改工作区外系统文件 | 拦截。越界写盘。 |
| 安装依赖但未列出 | 拦截。隐蔽安装行为。 |
| 网络请求使用 IP 而非域名 | 拦截。可疑 C2 特征。 |
| 混淆代码(压缩/编码/最小化隐藏意图) | 拦截。 |
| 请求 sudo/提权 | 拦截。 |
| 访问浏览器 cookie/session | 拦截。 |
| 触碰凭据文件 | 拦截。如 id_rsa、.env、docker/config.json、kubeconfig 等。 |
2.3 扩展高危命令模式(须全 包扫描)
| 检查项 | 说明 |
|---|---|
| 破坏性文件操作 | 拦截。rm -rf、del /f /s /q、Remove-Item -Recurse -Force、shred 等。 |
| 磁盘/文件系统操作 | 拦截。dd if=、mkfs、fdisk、diskpart、format 等。 |
| 提权/持久化 | 拦截。sudo、runas、crontab、schtasks、systemctl enable、reg add 等。 |
| 任意代码执行 | 拦截。eval、exec、bash -c、powershell -Command、python -c(外部输入) 等。 |
| 下载并执行 | 拦截。curl|sh、wget|sh、Invoke-WebRequest|iex、certutil 下载等。 |
| 凭据/密钥采集 | 拦截。读取 ~/.ssh/*、id_rsa、known_hosts、.env 等。 |
| 外泄通道 | 拦截。nc/ncat/socat、scp/rsync 到未知主机、异常 webhook 等。 |
| 防火墙/网络篡改 | 拦截。iptables、ufw、netsh advfirewall、篡改 DNS/route 等。 |
| 多处相似命令 | 拦截。存在任一 REJECT 级命中即拒绝,须扫描全部出现位置。 |
2.4 来源、权限与 OAuth 评估
| 检查项 | 说明 |
|---|---|
| 来源可信度评估 | 不拦截。审查来源/作者/仓库/更新时间,ClawdHub 官方≠自动安全。 |
| OAuth/SaaS 文档化 | 不拦截。文档 说明用户自建 GOOGLE_/AZURE_ 等凭据,最小权限 → 通常 INSTALL WITH CAUTION。 |
| 硬编码密钥/诱导粘贴 token | 拦截。要求密钥写入仓库或发到不可信端点。 |
| 广域 OAuth 仅因要授权 | 不拦截。Gmail/Drive 等广域 OAuth 默认 MEDIUM~HIGH,文档清晰则 CAUTION 而非直接拒绝。 |
| curl|sh 配合 OAuth 说明 | 拦截。文档化 OAuth 与下载执行链组合为高危。 |
3. zip 包内文件校验
在解压到磁盘之前,通过读取 zip 内条目完成校验(规则校验,非 LLM)。
3.1 SKILL.md 类校验
| 检查项 | 说明 |
|---|---|
| 文件名大小写 | 拦截。必须 exactly「SKILL.md」,skill.md 等不匹配。 |
| 主清单必须存在 | 拦截。须在 zip 根目录 SKILL.md,或唯一顶层目录下的顶层/SKILL.md;更深路径的 SKILL.md 不能作为主清单。 |
| 多个 SKILL.md | 取路径最浅的一条作为主清单(同深度按路径字典序),不单独报错。 |
| 平铺包结构 | zip 根目录存在 SKILL.md 时,允许多个顶层项(如 scripts/、references/),不要求顶层文件夹名与 slug 一致。 |
| 单文件夹包结构 | 根目录无 SKILL.md 时,所有文件须在同一顶层目录下;拦截若存在多个顶层目录。 |
| 单文件夹顶层目录名 | 拦截。顶层目录名须等于 SKILL.md 中的 slug(未写 slug 则用 name)。 |
| SKILL.md 编码 | 拦截。须为 UTF-8。 |
| YAML front matter | 拦截。文件开头的name,description等基础信息,须包裹在--- ---中,---包裹的内容,必须是合法 YAML 元数据块。 |
| name | 拦截。必填;最长 64 字符;正则 ^[a-z0-9]+(?:-[a-z0-9]+)*$(数字或小写字母开头;支持小写字母 / 数字 / -;不可首尾连字符、不可连续连字符;与顶层文件夹名完全一致)。 |
| slug | 若填写则同 name 规则;未填写时自动 slug=name。 |
| description | 拦截。必填;长度 1~1024 字符。 |
3.2 文件白名单校验
| 检查项 | 说明 |
|---|---|
| 允许的文件扩展名(默认 31 种) | .cfg/.cjs/.conf/.css/.csv/.gif/.htm/.html/.ico/.ini/.jpeg/.jpg/.js/.json/.jsx/.md/.mjs/.png/.py/.rst/.sh/.sql/.svg/.toml/.ts/.tsv/.tsx/.txt/.webp/.yaml/.yml |
| 允许的无扩展名文件 | license/copying/makefile/dockerfile/gemfile/rakefile/procfile/jenkinsfile(不区分大小写) |
| 允许的点配置文件 | .gitignore/.dockerignore/.editorconfig/.npmrc/.nvmrc(完整文件名匹配) |
| SKILL.md | 豁免后缀白名单,但仍须满足 3.1 全部规则。 |
| 忽略名单(不拦截、落盘后删除) | **MACOSX/**pycache__/.git/.svn/.DS_Store/desktop.ini/Thumbs.db/._*/.pyc/.pyo;校验阶段跳过,不算白名单允许类型。 |
| 双后缀文件 | 仅认最后一段扩展名,如 archive.tar.gz 只认 .gz,默认不在白名单则拦截。 |
| 后缀不在白名单 | 拦截。如 .exe/.pdf/.zip/.ps1/.env 等;可通过 Nacos skill.import.allowed_suffix 扩展。 |
3.3 脚本危险内容扫描(规则引擎)
| 检查项 | 说明 |
|---|---|
| 扫描范围 | 仅 .sh/.py/.js/.mjs/.cjs/.ts/.tsx/.jsx 且文件大小大于0;.md/.json 等文档不扫描。 |
| .sh 脚本 | 拦截。如 rm -rf、curl|sh、mkfs、dd、chattr 等高危模式。 |
| 代码文件 | 拦截。如 os.system、subprocess(shell=True)、eval、exec、child_process 等。 |
| 敏感路径/密钥引用 | 拦截。如 /etc/shadow、~/.ssh、PRIVATE KEY 等。 |
3.4 解压与其它校验
| 检查项 | 说明 |
|---|---|
| 解压路径安全 | 拦截。禁止绝对路径、..、解压目标逃出目录。 |
| 解压后缺少 SKILL.md | 拦截。平铺到 skill 目录后须存在 SKILL.md。 |
| 同环境 slug 重复 | 拦截。同一 account_id + env_id 下 slug 不可重复。 |
| 与内置 skill 冲突 | 拦截。name 或 slug 不得与全局内置 skill 重复。 |
| icon | 拦截。空则通过;短字符串无注入特征则通过;否则须为合法 base64 图片。 |
| 鉴权维度 | 拦截。须具备 account_id、env_id、resource_zone_id。 |