by 安全扫描
OpenClaw
安全
medium confidence该技能的声明目的(本地 WPS 自动化及可选 WPS 365 集成)与代码和指令一致,包中没有隐藏的数据泄露或无关的凭据请求,但存在少数小的不一致和 GUI 自动化及可选云凭据的正常风险。
评估建议
该技能似乎做了它声称的:本地 WPS 自动化和可选 WPS 365 调用。安装前注意:1) GUI 自动化(pyautogui)可以输入到任何活动窗口——仅在受控环境中运行;2) 如果计划使用云功能,只在私有环境中提供 app_id/app_secret,并考虑使用环境变量而非文件;3) SKILL.md 建议安装 'requests' 但包列表中省略了它——如果需要云功能,确保 'requests' (或 HTTP 客户端) 可用;4) 在 macOS 上授予可访问性权限前,自己审查 scripts/main.py(或在沙盒/VM 中运行)。如果需要对云 API 代码路径(令牌处理、使用的端点)进行更高保证的审查,请提供 scripts/main.py 的云相关部分进行检查。...详细分析 ▾
✓ 用途与能力
名称/描述宣传本地 WPS 自动化和可选 WPS 365 功能;scripts/main.py 实现了本地文档创建、打开、格式转换、批量处理,并提到云功能的 REST API/OAuth。所需的二进制文件/环境/配置与云使用的可选 app_id/app_secret 成比例。
ℹ 指令范围
SKILL.md 指示代理运行包含的 Python 脚本并提供 config.json 值;它明确记录了 pyautogui (GUI 自动化) 和 subprocess 调用的使用。该范围适合桌面自动化技能,但带来了预期的安全问题:GUI 自动化将与活动窗口交互,文件操作将读取/写入用户指定的路径。指令不要求代理读取无关的系统文件或任意凭据。
✓ 安装机制
仅指令,无存档下载或远程安装程序。依赖项通过 pip 安装(正常)。没有可疑的外部下载 URL 或提取操作。
ℹ 凭证需求
不需要环境变量。该技能可选使用 config.json 存储 WPS 365 的 app_id/app_secret;这很合理,并在 skill.json 中标记为秘密。小的不一致:SKILL.md 的安装列表包括 'requests' 而 README/skill.json 依赖项列表省略了它(如果云功能使用 HTTP,需要 requests)。
✓ 持久化与权限
该技能不请求 always:true 也不声称修改其他技能或全局设置。它需要正常的文件和 GUI 访问以实现其功能,并可以像往常一样由代理调用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/16
["增强安全文档:添加了关于本地自动化和 API 凭据的详细警告。","简化功能概览、安装和使用部分以提高清晰度。","更新依赖项列表以包含 requests。","为本地和云 WPS 功能添加了实现和故障排除说明。","SKILL.md 内容修订以改善安全性、透明度和用户指南。"]
● 可疑
安装命令 点击复制
官方npx clawhub@latest install wps-office
镜像加速npx clawhub@latest install wps-office --registry https://cn.clawhub-mirror.com
技能文档
功能概述
自动化 WPS 办公软件任务,包括文档创建、打开、格式转换、批量处理,以及管理 WPS 365 智能表单、文档、表格和流程图等。安装指南
- 安装 Python 和 pip。
- 运行
pip install -r requirements.txt安装依赖项(包括requests)。 - 配置
config.json(如果使用 WPS 365)。
使用指南
- 运行 Python 脚本以启动自动化任务。
- 参考 SKILL.md 中的详细说明和安全提示。
安全注意事项
- 仅在受控环境中运行 GUI 自动化脚本。
- 使用云功能时,安全存储 app_id/app_secret。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制