📦 med-initial-record-genenration — 门诊病历生成
v1.0.0从中文医患对话文本生成门诊初诊病历,输出结构化分段的病历正文(文本)。
0· 21·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能声称会对数据进行脱敏且不持久化输入,但包含的脚本将原始对话发送到硬编码的外部 API 并将输出写入磁盘——这种行为与文档描述相矛盾,存在隐私/数据泄露风险。
评估建议
该技能会将对话文本发送到硬编码的外部 API(https://shangbao.yunzhisheng.cn/...)并将返回的记录保存到磁盘。虽然文档声称输入会被脱敏且不会被持久化,但实际脚本未执行任何脱敏操作,会传输原始对话。在安装或运行前:(1) 验证并批准远程端点,确保信任其运营方和隐私政策;(2) 在实现本地脱敏或获得明确同意前,不要输入真实患者标识;(3) 如需隐私保护,修改脚本在发送前执行本地脱敏(移除姓名/ID/电话/地址),或本地托管模型;(4) 如不希望写入文件,在受控位置运行输出路径或修改代码避免写入磁盘;(5) 如不确定,避免安装或在隔离环境中运行并审查网络活动。README 承诺与代码实现之间的差异使该技能存在隐私风险,而非直接恶意。...详细分析 ▾
ℹ 用途与能力
该技能声称的目的是从对话生成门诊初诊病历,这与远程病历生成 API 调用的存在相符,调用模型/服务是合理的。然而,端点 URL 被硬编码为第三方域名(shangbao.yunzhisheng.cn),没有解释或本地配置/托管选项,透明度较低且可控性不足。
⚠ 指令范围
SKILL.md 声明输入在发送前会被脱敏,且不会本地持久化输入或中间结果。然而,脚本(scripts/gen_initial_record.py)读取完整对话并按原样 POST 到硬编码的 RECORD_API_URL,没有进行任何脱敏步骤,并将生成的记录写入磁盘。因此,运行时指令在隐私敏感方面与实际行为不匹配。
✓ 安装机制
没有安装规范,技能也不安装任何外部包。该技能仅是指令加脚本,不执行任何风险的安装时操作(安装风险低)。
⚠ 凭证需求
该技能声明不需要凭证或环境变量,但脚本将用户提供的对话泄露到外部 HTTPS 端点。由于没有声明认证、同意或可配置端点,对话中的敏感 PII 可能在用户未明确配置或同意的情况下被传输。
⚠ 持久化与权限
SKILL.md 承诺对输入和中间结果"不本地持久化",但脚本将生成的记录写入输出文件(根据需要创建目录)。将生成的记录写入磁盘与声明的"不持久化"保证相矛盾,应明确记录和控制。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
med-initial-record-gen 初始版本发布。- 从中文医患对话生成结构化门诊初诊病历。- 输出主诉、现病史、既往史、体格检查、辅助检查、诊断和治疗等关键部分。- 确保严格匿名化,处理后不保留任何用户数据。- 提供明确的输入/输出规范和快速入门指南。- 包含隐私、安全和伦理使用指南。
● 可疑
安装命令
点击复制官方npx clawhub@latest install med-initial-record-genenration
镜像加速npx clawhub@latest install med-initial-record-genenration --registry https://cn.longxiaskill.com镜像同步中