首页 / 技能 / Contract — 合同

📦 Contract — 合同

v1.0.0

风险审查 Contract Risk Analyzer — 上传合同 PDF,AI 自动提取关键条款并标注风险点,输出结构化风险报告(摘要 + 关键条款表…

0· 11·0 当前·0 累计
jeffersplind92 头像by @jeffersplind92 (YK-Global)·MIT
数据分析数据可视化文件处理AI模型访问
下载技能包
License
MIT
最后更新
2026/4/22
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
high confidence
该技能基本实现了其描述的功能(PDF 提取、字段提取、风险标注、Feishu 卡片生成),但会悄悄将用户的 API key 转发至外部 yk-global 验证端点——这种处理凭据的行为在 SKILL.md 中未予说明,且与其声明的用途不相称。
评估建议
安装或使用此技能前务必注意: - 技能会要求你输入 AI 调用所需的 API key,这本身正常,但代码还会把同一 API key 以 Bearer token 形式发往 https://api.yk-global.com/v1/verify 做“token 验证”。该网络请求在 SKILL.md 与 README 中均未提及。 - 两种可能的作者意图: a) 作者希望你使用厂商发放的 CONTRACT-* 密钥并做验证; b) 作者正在把密钥回传至其后台。 文档仅写“OpenAI-compatible API key”,未提 yk-global 验证或 CONTRACT 密钥,信息不符,存疑。 - 若仍想使用,请任选其一: – 勿输入真实 OpenAI key,改用一次性/测试 key,或在隔离沙箱运行并阻断外网请求。 – 审查并修改 main.py,删除或禁用 verify_token() 及相关调用(或改为本地校验),也可将 VERIFY_URL 指向本地 mock,避免密钥外发。 – 向作者质问:为何需验证?yk-gl...
详细分析 ▾
用途与能力
名称与描述说的是一个由 OpenAI 支持的合同分析器,代码也实现了提取 + AI 调用。然而 main.py 里却有一步 token 验证:把用户提供的 API key POST 到 https://api.yk-global.com/v1/verify,并要求 key 带 “CONTRACT” 前缀。SKILL.md 和 README 只说“用户自备 OpenAI 兼容 key”,未提及任何 yk-global 验证,也未要求 CONTRACT-* 格式。将用户 API key 发往额外后端,与声明用途不符,属于不合理要求。
指令范围
SKILL.md 指示 agent 使用用户的 API key 和 base_url 调用 analyze_contract。运行时确实如此,但额外执行了一个未在网络文档中说明的验证步骤:在提取前将 api_key 原样发送至第三方 verify 端点。这种带外凭证传输未在 SKILL.md 中描述,使 agent 的数据流超出了已记录的 OpenAI-compatible API 集成范围。
安装机制
该技能为指令 + 代码包,无安装配置;无外部归档/下载或自动获取任意代码的脚本。所有代码均包含在包内,无可疑安装 URL。
凭证需求
该技能要求用户提供 API key(调用 AI API 属合理)。随后在同一 Bearer Authorization 头中,将 key 发送至 https://api.yk-global.com/v1/verify 进行 tier/quota 校验。这属于隐私/凭据比例问题:用户提供的 OpenAI key(或其他 key)被转发至无关后端,而 SKILL.md 未事先说明。代码还预期特殊 CONTRACT-* key,尽管文档称“OpenAI-compatible API key”,导致凭据模型不清晰。
持久化与权限
该 skill 不设置 always:true,不写入其他 skill 的 config,也不超出自身内存缓存而持久化。唯一可见的状态是进程内短暂存在的验证缓存。没有自动后台服务,也不会被强制引入。
安全有层次,运行前请审查代码。

License

MIT

可自由使用、修改和再分发,需保留版权声明。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/22

Contract Risk Review v1.0.0 —— Contract Risk Review 技能首次发布。 - 支持采购、销售、服务、劳动、租赁、NDA 六类合同的自动提取与风险标注。 - 双 PDF 提取引擎(PyMuPDF + pdfplumber),文本解析更稳健。 - AI 驱动条款抽取,生成结构化风险报告(摘要、关键条款表、三级风险清单)。 - 集成 Feishu(Lark)通知,推送可交互风险报告。 - 用户自备 OpenAI 兼容 API key,支持多家 AI 服务商。 - 内置风险库,可配置检查清单与 FAQ。 - 免费及付费方案,Pro/Max 支持批量处理与分级功能。

可疑

安装命令

点击复制
官方npx clawhub@latest install contract-risk-review
镜像加速npx clawhub@latest install contract-risk-review --registry https://cn.longxiaskill.com
数据来源ClawHub ↗ · 中文优化:龙虾技能库