📦 Cto — 安全培训生成器
v1.0.0一键生成CTO×CISO联合安全培训包:自动产出课件、在线考核、证书颁发与进度追踪,全程本地运行,数据可审计,满足企业合规与技能提升需求。
0· 17·0 当前·0 累计
by 下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
安全
medium confidence该技能内部逻辑与声明一致(培训计划创建、考试、证书、进度追踪),仅操作本地工作区文件,不请求凭据或网络访问——但对“数字签名”存在夸大描述,且代码中有若干小缺陷,生产前需审查。
评估建议
安装或运行前请检查:
- 功能匹配:技能确实只做本地培训包生成、考试评分、证书输出与报告,若符合需求即可使用。
- 加密声明:所谓“签名”只是基于内容与签名者标签的确定性SHA256指纹,并非非对称私钥签名,不能作为法律或密码学证据;如需真实签名,请替换为带私钥的KMS/HSM方案。
- 工作区范围:默认读写~/.qclaw/workspace/knowledge-base/training,请确保该目录专用于培训,不含其他敏感文件;测试时建议使用隔离工作区。
- 代码小缺陷:issue_certificate.py中safe_write_tex调用不完整,track_progress.py中变量exam_resu截断,这些会导致运行时错误,需修复;同时确认各脚本具备正确的CLI入口与异常处理。
- 测试:在沙箱中用样例数据运行,验证输出与元数据字段是否符合预期。
- 如需可验证签名或外部审计,请实施真实签名(KMS/HSM)并视需增加仅追加审计日志或可信时间戳。
- 检查依赖声明(ai-company-cto、ai-company-ciso、ai-company-hr),确保环境中已...详细分析 ▾
✓ 用途与能力
名称/描述与实现一致:脚本完成计划创建、考试评分、证书颁发与进度追踪。技能不请求无关凭据或外部服务。声明依赖CTO/CISO/HR技能在该领域合理。
ℹ 指令范围
SKILL.md指示代理运行本地Python脚本,输出存于knowledge-base/training/(默认TRAINING_WORKSPACE)。脚本限定该目录,含ID/白名单/路径穿越防护。注意:提供的脚本片段存在小实现缺陷(见用户指引)可能导致运行时错误;技能需从工作区读取JSON,请确保不含其他敏感数据。
✓ 安装机制
无安装规范或远程下载;代码以纯Python脚本提供,安装时无抓取或解压,风险低。
ℹ 凭证需求
技能不请求环境变量或凭据(仅可选TRAINING_WORKSPACE路径)。注意:SKILL声称颁发“数字签名”与证据链,实现仅使用本地SHA256指纹(sign_certificate用hashlib+签名者字符串),而非真实非对称私钥签名——功能/语义不符(夸大加密保证)。
✓ 持久化与权限
技能非常驻,不请求高权限,也不修改其他技能或系统设置。仅写入可配置工作区目录;允许自动调用但未结合广泛凭据访问。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
CTO × CISO 联合培训技能包 v1.0.0 — 初始版本发布 - 提供四个关键接口:培训计划生成、在线考核、证书颁发、进度追踪 - 支持 CTO 与 CISO 双签名的课程内容与考核流程 - 全流程数据落盘:课件、试题、答卷、证书、进度、质量等可查可审计 - 满足 CHO 针对合规、安全、技术培训“一站式”落地及自动化追踪需求
● 无害
安装命令
点击复制官方npx clawhub@latest install cto-ciso-training-2-0-0
镜像加速npx clawhub@latest install cto-ciso-training-2-0-0 --registry https://cn.longxiaskill.com