by 安全扫描
OpenClaw
安全
medium confidence该技能的说明、所需工具与既定用途在 CLI 式 PDF 提取场景内部一致,但依赖外部 npm 包 mineru-open-api 且未提及任何 API 凭证,安装前请自行验证包与服务。
评估建议
该技能与其描述用途相符,但安装或运行前请注意:1) 全局安装 npm 包 mineru-open-api 前,先到 npm 页、GitHub 仓库及 README 验证包与发布者身份,全局安装会执行脚本并可修改系统;2) 确认 MinerU 在你所需的提取模式下是否需要 API 密钥——技能未声明任何凭证;3) 工具会在主目录 ~/MinerU-Skill/... 写入输出文件,如需隔离请在沙箱/容器或专用账户中运行;4) 处理敏感 PDF 时,请查阅 mineru-open-api 的隐私与传输策略,确保文档数据不会发往不可信远程服务。如需,我可帮你事先查阅 npm 包与 MinerU 文档以验证。...详细分析 ▾
✓ 用途与能力
名称/描述承诺基于 MinerU 的提取 CLI,SKILL.md 指示代理使用 mineru-open-api CLI 执行 flash-extract 或 extract;所请求操作与描述能力(PDF 提取、OCR、表格等)一致。
✓ 指令范围
运行时指令范围狭窄:安装 CLI 并对给定 PDF 执行 mineru-open-api 命令,然后读取/总结输出。SKILL.md 指明将输出写入用户主目录下的技能专属文件夹,符合其用途且未请求无关文件或环境变量。
ℹ 安装机制
注册表中无正式安装规范,但 SKILL.md 指示全局 npm 安装(npm install -g mineru-open-api)。在未验证包及发布者的情况下全局安装任意 npm 包属中等风险。包名看似合理,但技能注册元数据缺少主页/源码以供验证。
ℹ 凭证需求
技能未声明所需环境变量或凭证,SKILL.md 提到“flash-extract”模式“无需 token”。然而描述提及“MinerU API”及高级提取模式(OCR、公式识别),这类集成通常需 API 密钥或账户配置;未声明任何凭证与描述存在轻微不一致,应结合 MinerU 包/服务文档验证。
✓ 持久化与权限
技能仅含指令,非常驻,不请求系统级持久权限或修改其他技能。它将输出文件写入用户主目录下的技能专属文件夹,对文档提取工具而言权限适度。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.2.02026/4/6
通过 mineru-open-api CLI 集成 MinerU API,实现智能 PDF 阅读功能。
● 无害
安装命令
点击复制官方npx clawhub@latest install smart-pdf-reader
镜像加速npx clawhub@latest install smart-pdf-reader --registry https://cn.longxiaskill.com