by 安全扫描
OpenClaw
安全
high confidence该技能的请求和指令与其声明目的一致:读取项目的代码库和 canvas 文件,运行内部对抗性辩论,并写入更新后的 canvas 文件——不会请求额外凭证,也不会安装任何内容。
评估建议
该技能会读取你的 repository(项目根目录)以及 docs/business/ 下的所有 canvas 文件,并将更新后的 canvas 文件和辩论记录写回 docs/business/。安装或运行前,请确认:
1. 你愿意授予 agent 读取仓库内容的权限(其输出可能包含代码路径、配置或其他敏感文件);
2. 代码库中不存在你不希望泄露的机密或凭证;
3. 如需避免修改原文件,请先备份或在副本/隔离克隆上运行。
技能本身不会请求外部网络安装或凭证,但若计划对外分享 agent 输出,请将其视为敏感信息。...详细分析 ▾
✓ 用途与能力
该技能声明将通过读取代码库和现有画布文件来对商业模式进行压力测试,并生成更新的画布和辩论报告。为此目标,需要访问项目文件并将结果写入 docs/business/ 是合理的。
ℹ 指令范围
SKILL.md 明确指示子代理读取项目根目录的代码库以及 docs/business/ 中的任何 canvas 文件,并将更新的 canvas 文件和辩论记录写入 docs/business/。这是该技能正常运行所需,但意味着代理会扫描仓库文件(可能包含敏感文件)并在仓库中生成文件。这些指令未引用外部网络端点,也未请求无关的环境变量。
✓ 安装机制
未提供安装规范或代码文件;该技能仅包含指令,不会下载或安装软件,从而最大限度降低写入磁盘的任意代码风险。
✓ 凭证需求
该 skill 未声明任何必需的环境变量、凭据或配置路径。其需要读取工作区/仓库的要求已通过所描述的分析任务得到合理解释。
ℹ 持久化与权限
该技能确实会在项目工作区的 docs/business/ 目录下写入输出文件,这与其目的相符。always 为 false,且默认允许自主调用(平台常规)。没有迹象表明它会修改其他技能或系统级设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
canvas-debate 1.0.0 — 首次发布 - 启动两位独立子代理间的对抗辩论:YC Partner(挑战者)与 Business Strategist(辩护者),由 Referee 协调。 - 通过严格挑战、辩护与迭代画布更新,对商业模式进行压力测试与优化。 - 输出更新后的价值主张画布、商业模式画布、测试卡片、执行摘要及完整辩论报告。 - 通过隔离子代理上下文并强制基于证据的论证,减少确认偏误。 - 推荐给需要比单次商业画布分析更深入、多轮批判的用户。
● 无害
安装命令
点击复制官方npx clawhub@latest install canvas-debate
镜像加速npx clawhub@latest install canvas-debate --registry https://cn.longxiaskill.com
技能文档
两个独立 AI 代理就你的商业模式展开辩论:一个构建,一个攻击。彼此看不到对方推理,仅见输出。仲裁者主持交锋,生成最终经实战检验的 canvas + 辩论报告。
何时使用
- 运行 business-canvas 后,对结果进行压力测试
- 需要比单次分析更严格的评估
- 怀疑商业模式存在盲区
- 向投资人路演前——先模拟尖锐提问
- 想找出模型中最脆弱的假设
架构
``
主代理(Referee / 仲裁者)
├── 子代理 A:YC Partner(Challenger / 挑战者)
│ 知识:office-hours 6 个 forcing questions
│ 可见:Canvas 输出 + 防守者回答
│ 不可见:防守者推理、代码库细节
│ 目标:找出商业模式致命缺陷
└── 子代理 B:Business Strategist(Defender / 防守者)
知识:business-canvas 完整方法论
可见:代码库 + 挑战者提问
不可见:挑战者推理、战略意图
目标:持续改进 canvas,直至无有效挑战
仲裁者:仅转发输出(不转发推理),判定收敛,生成最终报告
` 前置条件
运行前需准备:
- 待分析的代码库——被评估的产品/项目
可选:之前 business-canvas 生成的 canvas 文件(位于docs/business/)。若存在,防守者以此起步;若不存在,防守者在第 0 轮生成初始 canvas。
输出文件
全部输出至 docs/business/(自动创建):
value-proposition-canvas.md——经实战检验的 VPC(防守者更新)business-model-canvas.md——经实战检验的 BMC(防守者更新)test-cards.md——反映辩论发现的更新测试卡canvas-summary.md——更新的执行摘要debate-report.md——新增:完整辩论记录 + 分析
执行流程
第 0 轮:初始 Canvas(如尚不存在)
若 docs/business/value-proposition-canvas.md 与 docs/business/business-model-canvas.md 不存在,先启动子代理 B(防守者)生成: 子代理 B 提示(第 0 轮):
`
你是 Business Strategist。阅读 [项目根目录] 的代码库以理解产品。生成:
value-proposition-canvas.md——客户画像(工作/痛点/收益)+ 价值图(产品/止痛/增益)+ 匹配度评分- business-model-canvas.md——全部 9 个 BMC 模块 + 竞争格局 + 关键风险
仅输出 canvas 内容,不解释推理过程。使用[用户语言]撰写。保存至 docs/business/。
`
完成后进入第 1 轮。 第 1 轮:首轮挑战
步骤 1: 读取 docs/business/ 中的 canvas 文件。
步骤 2: 仅向子代理 A(挑战者)提供 canvas 输出: 子代理 A 提示(第 1 轮):
`
你是进行 office hours 的 YC Partner,直言不讳,厌恶模糊表述。使用 Garry Tan 六问框架:
需求现实:有真实需求证据还是仅假设?- 现状痛点:现有替代方案真够痛吗?
- 极度具体:能说清最需要它的具体是谁吗?
- 最窄楔子:MVP 真极简,还是伪装成平台?
- 观察惊喜:真看过用户,还是纯理论?
- 未来契合:未来让它更必要还是更无用?
仅拿到商业模式 canvas,未见过产品本身。找出 5–7 个最关键弱点、矛盾或未验证假设。
规则:
具体犀利。“收入模式不清”弱;“canvas 列 3 个客户细分却只对 1 个定价——谁真付钱?”强。- 挑战证据,非观点。若写“用户喜欢”,追问证据。
- 按严重程度排序:[CRITICAL] [SERIOUS] [MODERATE]
- 每点指出需何种证据才能解决。
按编号输出挑战。
``