wechat-mp-publisher

简明建议（安装前请考虑）： - 信任边界：此技能会把你的 WECHAT_APP_ID 与 WECHAT_APP_SECRET 作为字段传送到远程 wenyan-mcp 服务（通过 mcporter）。只有在你信任并控制该远端 MCP 服务或确认对方是受信任部署时才应提供真实凭证。 - 元数据不一致：技能注册信息未声明必需的环境变量，但脚本确实需要 WECHAT_APP_ID/WECHAT_APP_SECRET。不要盲目把凭证放入全局文件。 - 避免集中凭证泄露：scripts/setup.sh 会从 $HOME/.openclaw/workspace/TOOLS.md 读取凭证。若你把其他敏感密钥放在 TOOLS.md，安装/使用此脚本可能会无意中暴露或读取这些密钥。建议不要把真实凭证放在公用/全局文件中；优先使用技能根目录下的 wechat.env，并把它设置为仅限技能访问的受限文件。 - 代码与包审查：在安装 mcporter npm 包前，查看该包的源（GitHub 仓库或 npm 页面）以确认其来源和维护者；审阅 mcporter 的实现或使用受信任版本。 - 最小化测试：先用一个测试/临时的公众号账号或临时凭证进行试验，确认发布流程与远端行为，再迁移到生产凭证。 - 网络与白名单：按说明需把远端 MCP 的公网 IP 加入微信后台白名单。确保你了解谁能访问该远端服务器及其日志策略。 - 可替代方案：如果不愿将凭证发送给第三方远端，可考虑在你可控的 VPS 上自行部署 wenyan-mcp，或改用本地直接发布（若可行）。 如果你希望我，我可以： 1) 列出 wechat.env.example 的确切字段与格式； 2) 帮你审阅 mcporter 包的源地址（若提供）； 3) 给出如何把凭证限制到技能目录（文件权限/SELinux 等）的具体步骤。