by 安全扫描
OpenClaw
可疑
medium confidence该技能描述操作 HWPX 模板,但运行指令引用了未包含的脚本、模板和依赖项,导致包不完整,可能不安全,需进一步检查。
评估建议
该包不完整:SKILL.md 和 README 引用了未包含的 run.py、lib/hwpx_shim.py、assets/report-template.hwpx、requirements.txt 和帮助脚本。不要运行来自未知源的任意 pip 安装或脚本。安装或使用前,请从发布者获取缺失文件或可信的上游仓库,并检查 run.py 和任何 shim/脚本的网络调用、文件系统操作或凭证使用。如果需要此功能,请优先选择具有明确安装规范(requirements.txt 或安装脚本)和可验证源(GitHub 仓库/发布)的包装实现,并避免在审查代码前将敏感文档放入 uploads/ 文件夹。如果无法获取或审查缺失的代码,请将包视为不可信任。...详细分析 ▾
⚠ 用途与能力
SKILL.md 描述了 HWPX 模板分析和应用,并提到了 run.py、lib/hwpx_shim.py、assets/report-template.hwpx、requirements.txt 和 scripts/fix_namespaces.py,但这些文件都不在包清单中。这种不匹配意味着发布的包无法在不获取或创建额外代码/资源的情况下执行所声称的任务。
⚠ 指令范围
指令告诉代理运行本地命令(./run.py analyze-template,./run.py apply-template)并读取用户 uploads/ 和写入 outputs/,但引用的入口点和资产都缺失。README 还指示通过 pip 安装依赖项(网络活动),尽管没有包含 requirements.txt 或安装规范。这留下了广泛的代理自由(下载/安装包或运行未知代码),这不受包的限制。
ℹ 安装机制
没有安装规范(仅指令)。这降低了自动安装风险,但 README 建议从源安装包(python-hwpx)并运行脚本。由于技能不提供包安装,任何尝试使用它的人都需要获取/安装外部代码,如果源不可验证,风险会增加。
✓ 凭证需求
该技能未声明任何所需的环境变量、凭证或配置路径。没有明确的秘密请求。这与其声明的目的成比例,但缺失的实现意味着操作员可能稍后会被提示提供或安装第三方依赖项。
✓ 持久化与权限
always 为 false,且允许默认代理调用。该技能在清单中未请求持久或系统范围的权限。这里没有尝试修改其他技能或系统配置的代码,但由于包不完整,任何获取的代码都可能改变这种行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.12026/2/17
- 更新了 clawhub.json 配置文件。- 无技能功能或文档更改。
● 无害
安装命令 点击复制
官方npx clawhub@latest install gonggong-hwpxskills-main
镜像加速npx clawhub@latest install gonggong-hwpxskills-main --registry https://cn.clawhub-mirror.com
技能文档
HWPX 文档创建·编辑技能 (hwpx_my)
此技能通过 ZIP 级别替换支持模板基于文档创建。基本提供模板位于 assets/report-template.hwpx。用户上传的模板放在 uploads/ 文件夹中使用。结果生成在 outputs/ 中。
Commands:
analyze-template: 提取模板内文本占位符apply-template: 根据映射进行替换并保存到 outputs/
Notes:
- 若要使用完整的 ObjectFinder 功能,请安装 python-hwpx;如果 python-hwpx 不可用,提供了轻量级 shim(位于 lib/hwpx_shim.py)。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制