[Compatibility] wecom-app 在 OpenClaw 2026.3.31 上无法安装：安全扫描拦截 + --dangerously-force-unsafe-install 无效

[KaysonSear]

内容
问题描述
@openclaw-china/wecom-app@2026.3.29 在 OpenClaw 2026.3.31 上完全无法安装。3.31 版本新增的安全扫描器将插件中的 child_process（ffmpeg 调用）和环境变量访问（API 凭证传递）标记为"危险代码"并阻止安装。--dangerously-force-unsafe-install 标志无效（这是 OpenClaw core 的 bug）。
环境

OpenClaw: 2026.3.31
Node.js: v25.8.0
系统: CentOS Stream 8 (Alibaba Cloud)

扫描器报告
WARNING: Plugin "wecom-app" contains dangerous code patterns:
Shell command execution detected (child_process) (dist/index.js:5037)
Environment variable access combined with network send — possible credential harvesting (dist/index.js:4402)
被标记的代码

child_process — 用于 ffmpeg 音频处理（ASR 语音转文字功能）
环境变量 + 网络请求 — 用于读取 API 凭证并调用企业微信 API，这是任何 API 客户端的标准模式

当前 workaround
降级到 OpenClaw 2026.3.24 安装插件，安装后不升级。
建议

在 OpenClaw 修复 --dangerously-force-unsafe-install 之前，可以在 README 中标注 3.31 兼容性问题
考虑将 child_process 调用包装为条件导入，减少静态分析的误报
在 package.json 中添加 openclaw.hooks 字段（缺少此字段也会导致安装被拒）

相关 Issue

OpenClaw 主仓库 issue：--dangerously-force-unsafe-install 标志无效

[BytePioneer-AI]

收到