by 安全扫描
OpenClaw
安全
high confidenceNULL
评估建议
总体看起来内部一致且与描述相符,但在安装/使用前请注意: 1) 仓库包含 agents/openai.yaml 和子技能文件,这些是可选的自动化/agent 流程——如果打算启用它们,需要提供 LLM 提供商的 API key(例如 OPENAI_API_KEY);这些凭证并非技能清单里声明的必需项,启用前请审阅相关 YAML 和 .agents/workflows/*.md。 2) 运行 npm install 会从包注册表拉取依赖(需要网络),建议在受控/离线或隔离环境中安装并先运行 npm audit。 3) 技能会读取 {baseDir}/materials/ 下的参考资料以生成内容——不要把敏感文件放在该目录,或在提供敏感素材前确认信任并审阅脚本(scripts/ 下的文件主要是 deck 操作、渲染与导出,建议快速 grep 检查是否有意外的网络调用)。 4) 若您打算允许技能的自动调用能力(agent 自动执行),请先审阅子技能的 SKILL.md 与 agents 配置,确认不会在未授权情况下将数据发送到外部服务。 综上:该技能内部一致、风险可管理;若不启用 agent...详细分析 ▾
✓ 用途与能力
名称/描述(生成 deck.json、渲染预览、导出 .pptx)与仓内文件一致:有用于初始化、校验、渲染和导出的脚本、模板、主题和 archetype。所需二进制(node)和 package.json 中的依赖(pptxgenjs、ajv 等)与功能匹配。
ℹ 指令范围
SKILL.md 指示在 {baseDir} 下运行 npm install 并执行本地脚本,所有操作限定于项目/材料目录(projects/, materials/, deck.json)。没有在说明里要求读取系统凭证或任意系统文件。但仓内包含 agents/openai.yaml 和 .agents/ 工作流文档,暗示可选的子技能/agent 流程可能依赖 LLM API(见下文建议检查)。
✓ 安装机制
install 指定通过 brew 安装 node(常见且可追溯)。npm 依赖来自常见包(pptxgenjs、ajv 等),package-lock.json 显示从镜像注册表拉包,没有发现对不明 URL 的直接下载或可执行归档。
ℹ 凭证需求
技能本身不声明需任何环境变量或凭证(requires.env 空),这与其本地离线生成 PPT 的用途相符。但仓内包含 agents/openai.yaml(多个位置)和 agent/workflow 文档,表明可选的 agent/subskill 自动化路径可能期待供应商 API key(例如 OpenAI)。这些凭证未被列为必需,但如果启用 agent 功能就需要外部 API 密钥。
✓ 持久化与权限
flags 表示 always:false,技能不会被强制常驻。安装/运行行为局限于自身目录(创建 projects/、读取 materials/、生成 outputs/),未见修改其它技能或系统范围配置的指令。
⚠ scripts/build_project.js:6
Shell command execution detected (child_process).
⚠ scripts/open_project_preview.js:6
Shell command execution detected (child_process).
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/1
NULL
● 无害
安装命令
点击复制官方npx clawhub@latest install ppt-maker-skill
镜像加速npx clawhub@latest install ppt-maker-skill --registry https://cn.longxiaskill.com