📦 OC PR Review — PR审查助手
v1.0.0一键完成Pull Request全流程审查:集成GitHub CLI,自动执行安全扫描、测试覆盖率分析、性能评估与代码质量检查,并实时推送飞书通知,为团队提供可落地的合并建议。
0· 69·0 当前·0 累计
by 下载技能包
最后更新
2026/4/1
安全扫描
OpenClaw
可疑
medium confidenceNULL
评估建议
这个技能总体上看起来就是一组针对 GitHub PR 的审查步骤和模板,且只需要 GitHub CLI 来执行 PR 查询与评论,因此从一致性角度不是明显恶意。使用前请注意:
- 授权边界:技能会调用 gh 命令并可能执行 gh pr review(approve/request-changes)与 gh api 发评论;这意味着运行该技能的代理需要有可用的 GitHub 凭据(gh 已登录或 GITHUB_TOKEN)。确认你愿意授予这些操作权限,并在自动化场景中优先使用最小权限的令牌。
- 飞书通知:SKILL.md 支持把结果发到飞书,但没有声明需要的 webhook 或 token。若要启用通知,明确你将如何提供飞书凭据(例如通过受控 webhook)并确认消息目标(群/个人),避免把凭据贴在公开对话中。
- 审查侧影响:技能可以在 PR 上提交审批/请求变更,若不希望自动更改 PR 状态,请在运行前限定为“仅生成报告/仅评论”模式或手动复核生成内容再提交。
- 信誉与来源:技能来源未知、主页空白,虽然实现看起来合理,但若你将在敏感或生产仓库中使用,先在非生产仓库/测试...详细分析 ▾
ℹ 用途与能力
技能名与说明集中在 GitHub PR 审查,所需二进制 gh(GitHub CLI)和 SKILL.md 中大量 gh 命令调用与目的相符。但说明中期望能“推送飞书通知”,却没有在元数据或 requires.env 中声明任何飞书/通知凭据,这与所述能力有不完全对应。
ℹ 指令范围
SKILL.md 明确列出执行 gh pr view/diff、gh pr review、gh api 等命令来读取 PR、diff 并可在 PR 中提交评论/审批,全部在 PR 审查范围内。唯一的范围模糊是“发送飞书通知”部分:文档提到“使用 message 工具发送”或“发送到飞书群/个人”,但并未说明具体如何认证或使用哪个 webhook/token,会让自动化执行时出现未声明的外部凭据需求。
✓ 安装机制
仅声明通过 Homebrew 安装 gh(公式名 gh),这是常见且与用途直接相关的安装方式,风险低。技能为 instruction-only(没有代码文件),因此没有远程下载或可执行脚本写入磁盘的高风险安装步骤。
⚠ 凭证需求
Registry metadata 列出“无需 env vars”,但运行说明显式要求 gh 已认证(gh auth status/login)且会调用 gh api 提交评论/审查 —— 在交互式场景下这依赖于本地 gh 登录状态或 GITHUB_TOKEN。更明显的矛盾是:SKILL.md 支持将报告发送到飞书,但未声明任何 FEISHU_TOKEN/WEBHOOK/APP_CREDENTIALS。未声明的通知凭据与技能功能不匹配,可能导致需要在运行时手动提供敏感凭据或连接到外部通知帐户。
✓ 持久化与权限
技能没有设置 always:true,也没有要求修改其他技能或系统范围配置。作为 instruction-only skill,它不会在安装时写入持久化代码或自行储存凭据。自动调用 gh 的操作会使用现有 gh 凭据(本地),这是预期行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/1
NULL
● 无害
安装命令
点击复制官方npx clawhub@latest install oc-pr-review
镜像加速npx clawhub@latest install oc-pr-review --registry https://cn.longxiaskill.com