📦 Package.json Generator — 专业包管理文件生成器
v1.0.0生成包含最佳实践脚本、依赖和配置的专业 package.json 文件,支持开发/生产依赖分离和语义化版本。
0· 321·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能声称提供丰富的 package.json 生成和 CLI 选项,但包含的脚本极简,未实现宣传的功能,且会无安全检查地覆盖 package.json。
评估建议
该技能的营销和 README Promises 超过了交付的代码。安装或运行前:1) 不要在真实项目根目录运行 — 它会无提示覆盖 package.json,先在可丢弃目录运行。2) 注意 SKILL.md 显示 --name/--type 标志,但脚本仅接受位置名称和版本 — 请求作者提供更正的 CLI 或更新脚本。3) 如果需要真正的“最佳实践”生成(dev/prod 依赖,验证),使用知名工具(npm init,create-node-app,Yeoman 生成器)或自己审查和扩展脚本。4) 如果仍想使用该技能,请求维护者添加安全检查(拒绝覆盖,备份现有 package.json),实现宣传的选项,并记录确切行为。...详细分析 ▾
⚠ 用途与能力
名称/描述承诺“最佳实践验证”,依赖分离,语义化版本和标志样式 CLI,但包含的 package-json-generator.sh 仅从两个位置参数(名称和版本)写入最小的 package.json。宣布的能力与提供的代码不成比例。
⚠ 指令范围
SKILL.md 显示带有选项(--name, --type, --framework)的使用方法,并声称验证和依赖管理,但运行时工件仅生成基本 package.json 并接受位置参数。脚本无条件写入 package.json(cat > package.json),无确认覆盖任何现有文件 — SKILL.md 中未记录的破坏性行为。没有网络访问或数据外泄,但指令和实现之间的不匹配很显著。
✓ 安装机制
没有安装规格(仅指令)并且仅包含一个简单的 shell 脚本。技能包本身没有执行外部下载或包安装,因此风险很低。
✓ 凭证需求
该技能不请求环境变量、凭据或配置路径,脚本也不访问敏感环境变量。这与 package.json 生成器的比例相符。
✓ 持久化与权限
always 为 false 且该技能不请求持久或高级权限,也不修改其他技能的配置。其唯一的文件系统效果是写入当前目录的 package.json。
安装前注意事项
- 不要在真实项目根目录运行 — 它会无提示覆盖 package.json,先在可丢弃目录运行。
- 注意 SKILL.md 显示 --name/--type 标志,但脚本仅接受位置名称和版本 — 请求作者提供更正的 CLI 或更新脚本。
- 如果需要真正的“最佳实践”生成(dev/prod 依赖,验证),使用知名工具(npm init,create-node-app,Yeoman 生成器)或自己审查和扩展脚本。
- 如果仍想使用该技能,请求维护者添加安全检查(拒绝覆盖,备份现有 package.json),实现宣传的选项,并记录确切行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/2
首次发布 package-json-generator。生成专业的 package.json 文件,包含标准化 scripts 和最佳实践。支持开发/生产依赖分离及语义化版本。提供命令行用法示例。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install package-json-generator
镜像加速npx clawhub@latest install package-json-generator --registry https://cn.clawhub-mirror.com
技能文档
生成专业的 package.json 文件。
功能
- 📝 标准化的 scripts
- ✅ 最佳实践验证
- 🔧 开发/生产依赖分离
- 🏷️ 语义化版本
使用方法
package-json-generator --name my-project --type node
package-json-generator --name my-app --framework express
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制