clawhub install xxx

报错：

Rate limit exceeded

原因：

未登录

需要先执行：

clawhub login

CLI login

Missing state.

Run the CLI again to start a fresh login.

解决办法：

把 PowerShell 中的那个网址复制出来，在浏览器上打开即可。网址格式类似：

https://clawhub.ai/cli/auth?redirect_uri=http%3A%2F%2F127.0.0.1%3A64172%2Fcallback&label_b64=******&state=******

前置条件

• 已安装企业微信最新版客户端

• 已安装 OpenClaw（Node.js 版本需 ≥ 22.0）

• 管理员权限的企业微信账号（否则看不到 API 模式选项）

第一步：在企业微信创建长连接机器人

1. 打开企业微信客户端 → 工作台 → 智能机器人 → 创建机器人

2. 点击底部小字 "如需使用自有系统获取成员与机器人的聊天并输出回复，可切换至 API 模式创建"

3. 选择 「长连接」 方式（不要选 Webhook 回调模式）

4. 复制保存生成的 Bot ID 和 Secret（后续需要用到）

5. 先不要点击保存，保持页面打开，等完成 OpenClaw 配对后再保存 

第二步：Windows 本地安装企微插件

打开 PowerShell 或 命令提示符，依次执行以下命令：

1. 安装企业微信插件

openclaw plugins install @wecom/wecom-openclaw-plugin

如果安装失败，可尝试备用命令： openclaw plugins install @tencent/openclaw-wecom

2. 重启 OpenClaw 网关

openclaw gateway start

重要：这个窗口不能关闭，关闭后机器人会掉线。需要再新开一个终端窗口执行后续命令。

3. 添加企业微信渠道

在新开的终端窗口执行：

openclaw channels add

按提示操作：

1. 用方向键选择 企业微信(WeCom) → 回车

2. 粘贴输入 Bot ID → 回车

3. 粘贴输入 Secret → 回车

4. 选择 Finished/Done 完成基础配置

5. 配对方式选择 Pairing

第三步：完成配对授权

1. 回到企业微信，找到刚创建的机器人，发送任意消息（如"你好"）

2. 机器人会自动回复一条配对码消息（包含授权命令）

3. 复制消息最后一行的配对码

4. 在终端中执行配对命令：

openclaw pairing approve openclaw-wecom 你的配对码

5. 提示"授权成功"即完成配对

第四步：保存并启用机器人

1. 回到企业微信机器人配置页面，点击 保存并创建

2. 现在可以在企业微信中与机器人正常对话了

长连接 vs 回调模式的优势

常见问题

命令速查表

# 安装插件
openclaw plugins install @wecom/wecom-openclaw-plugin

# 启动网关（窗口不能关）
openclaw gateway start

# 添加渠道
openclaw channels add

# 配对授权
openclaw pairing approve openclaw-wecom 【配对码】

# 重启服务
openclaw gateway restart

# 查看状态
openclaw channels status

配置完成后，你就可以在企业微信中与 OpenClaw 对话了。如果需要让个人微信也能使用，可以在企业微信后台 "我的企业" → "微信插件" 中生成二维码，用个人微信扫码关注企业即可。

本文适用场景：攻击的是 web 网址而非 IP，来源有许多各地的 IP 地址，每个 IP 地址每小时只有若干请求，但整个网站每分钟有数万请求量。

《小白鼠A》（贵）

阿里云有一款产品叫“Web 应用防火墙”，开通并接入云产品，试用按量付费即可。

在防护配置-Web核心防护 中可配置各种规则，譬如：

“自定义规则”可添加网址/UA/IP/Cookie/等中包含某些关键词的请求；

“区域封禁”可按地区来限制请求；

另外还有“CC防护”等各种实用规则。

添加规则后记得关联实例。

配置完成后可在总览页面查看请求情况，如果攻击停止可关闭防火墙。

试用了12小时，平均每分钟请求2-5万次，消耗 15000SeCU，费用大概是750元。

《小白鼠B》（推荐）

阿里云有一款产品叫“边缘安全加速 ESA”，开通接入域名（注意填写域名时不要写 www）。

创建购买成功后会有一个 CNAME 域名，解析生效。配置 HTTPS 证书。

打开“我正在遭受攻击”，开启后站点进入严格防护模式，默认对所有 HTTP 请求做滑块挑战。这是非常能节省费用的操作，实测开启与不开启的数量相差20倍（具体视攻击强弱）。

另外，ESA 自带的“安全防护-WAF”中若想根据 URL 中包含某个关键词来拒绝请求，需要升级套餐。可以直接在“规则-重定向”设置 302 跳转也能达到类似的效果，但是节省流量的最好办法还是开启滑块。

费用的话，大部费用是由“客户端请求到边缘加速服务器的流量”和“边缘加速服务器响应给客户端的流量”组成的，而且滑块页面不计入流量。可免费试用。

在开启滑块的情况下，1分钟产生10M流量，基础版包含的50GB可以用3天。标准版（500GB）375元可以用一个月。（以我站实测为例，各站情况不同）。

具体费用在“计费管理-套餐管理-套餐总量 (月)-”查看。超过套餐的流量会使用CDN流量包抵扣。

ECS 获取客户端 IP 的问题有两种解决方案，1. 设置四层代理分析（企业版），2. 设置重定向规则，重定向到直接解析到该网站的另一个域名。

为了尽量减少滑块对用户体验的影响，建议加白名单：ESA-站点-安全防护-WAF-白名单规则，譬如添加省份规则，跳过全部规则（包括滑块）。

其它问题：滑块会拒绝蜘蛛？

其它相似产品：Cloudflare、腾讯云 EdgeOne。

----------------下面是停站维护时显示临时页面的做法----------------

被攻击期借用阿里云 OSS/CDN 显示“维护中”页面的方法。

1.

首先让 AI 快速生成一个维护中的页面，上传到 OSS。

虽然这个文件有一个对应的 CDN 链接，但是域名解析使用“显性 URL”模式并不能正常访问到这个页面。

2.

在阿里云 CDN 添加一个域名（也就是网站域名），会生成一个 CNAME 域名，网站域名 CNAME 到这个域名上。

配置这个 CDN 域名的 OSS 实例、HTTPS 等信息。

这样生效后，访问网站域名就能请求到这个 OSS 上了。

3.

但是它并不像网站一样有默认文档，需要添加重写规则。

打开 CDN-域名管理-缓存配置-重写访问URL，添加，添加重写规则。

例：如果目标页面路径是 https://域名/index.html，那么重写规则就是：

^/(?!.*index\.html$).*$

也就是把所有除 /index.html 以外的路径全部重写到 /index.html。

4.

下一步只要观察这个域名的实时流量和带宽，如果攻击停止了，将域名解析回 ECS。

CDN-统计分析-实时监控-访问数据-选择域名-查询。

set $a "";
if ($request_uri ~* "action=postreview") 
{
   set $a "${a}1";
}
if ($http_referer !~* "^https?://([^/]+\.)?domains\.com([:/?#]|$)") 
{
   set $a "${a}1"; 
}
if ($a = '11')
{
    return 403;
}

fastcgi...

上例中实现了 url 中包含 action=postreview 且来源不是本站的情况拒绝访问。

一般放在 fastcgi 所在 location，譬如宝塔面板的 enable-php-xx.conf 文件中。

1. 使用MySQL命令行工具:

mysqlcheck -u root -p --auto-repair --optimize --all-databases

这条命令会提示输入密码，然后自动修复并优化所有数据库中的所有表。

2. 如果确实需要在MySQL客户端内执行，可以生成批处理语句：

SELECT CONCAT('OPTIMIZE TABLE ', table_schema, '.', table_name, '; REPAIR TABLE ', table_schema, '.', table_name, ';') 
FROM information_schema.tables 
WHERE table_schema NOT IN ('information_schema','mysql','performance_schema','sys');

执行此查询后，复制结果中的所有语句再执行。

注意：执行表优化和修复操作需要相应权限，且在高负载生产环境中应谨慎操作，最好在低峰期进行。

方法二：启用ASP.NET Core Module Stdout 日志。

修改网站根目录下的 web.config 文件，在 <aspNetCore> 节点中启用标准输出日志。你需要先手动创建 logs 文件夹并确保有写入权限。

<aspNetCore processPath="dotnet" 
            arguments=".\YourAppName.dll" 
            stdoutLogEnabled="true" 
            stdoutLogFile=".\logs\stdout" 
            hostingModel="inprocess" />

重现错误后，即可在 logs 目录下查看生成的日志文件。注意：出于性能考虑，问题解决后建议将 stdoutLogEnabled 设为 false。

字段类型

是否分词 (Analyzed)

是否索引 (Indexed)

是否存储 (Stored)

适用场景

Int32Field

Int64Field

StringField

否

是

由 Store参数决定

订单号、身份证号、URL等需要精确匹配的字段

TextField

是

是

由 Store参数决定

文章标题、正文、描述等需要全文搜索的字段

StoredField

否

否

是

仅用于存储，不参与搜索（如图片路径、文件等二进制数据）

中文显示小方块，原因是你使用了 VNC 登录，改用 Workbench 或 SSH 工具则正常显示。

譬如“(”符号，前者视其为非保留字符，不进行转义，后者视为保留字符，转义为“%28”。

原因是 .NET Framework 4.8 主要遵循 RFC 2396，而 .NET 9 遵循 RFC 3986。

在跨平台签名验证场景中，对 URL 编码的一致性要求极高，任何细微差别都会导致签名校验失败。

以下是以 RFC 3986 标准为核心、优先使用各平台内置的高一致性方案。

对于 .NET 9，直接使用 Uri.EscapeDataString()。

string encodedData = System.Uri.EscapeDataString(dataToEncode);

对于 .NET Framework，以下是一个遵循 RFC 3986 严格标准的自定义编码方法示例。

static string Rfc3986EscapeDataString(string input)
{
    // 定义 RFC 3986 中明确的未保留字符集（不编码）
    var unreservedChars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789-_.~";

    var result = new StringBuilder();
    byte[] data = Encoding.UTF8.GetBytes(input); // 统一转换为 UTF-8 字节

    foreach (byte b in data)
    {
        char currentChar = (char)b;
        // 如果是未保留字符，直接输出
        if (unreservedChars.IndexOf(currentChar) != -1)
        {
            result.Append(currentChar);
        }
        else
        {
            // 否则，进行百分号编码（%XX，大写）
            result.Append('%').Append(b.ToString("X2"));
        }
    }
    return result.ToString();
}

对于 PHP，直接使用内置的 rawurlencode() 函数。这个函数的设计初衷就是严格遵循 RFC 3986 标准。

$encoded_data = rawurlencode($data_to_encode);

对于 JavaScript，encodeURIComponent 函数严格遵循 RFC 3986 标准。

let encodedData = encodeURIComponent(dataToEncode);

重要提示：无论使用哪种语言，务必在编码前明确指定字符串使用 UTF-8 编码。编码不一致是导致乱码和签名失败最常见的原因之一 。