📦 Working — 工作中
v1.0.0Capital Optimizer 提供用于分析和优化营运资金管理的框架与模板,并附带可执行的建议与后续步骤。
6· 6·0 当前·0 累计
by 下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
可疑
medium confidence该技能的代码与测试自成一体,符合营运资金用途,但 SKILL.md 与 ACCEPTANCE.md 明确声明“无代码执行”,却附带可执行的 handler.py——安装前值得核查这一可能误导的不一致。
评估建议
该技能似乎实现了所宣称的营运资金分析,且不请求凭据或网络访问,但文档中“无代码执行”的说法与随附的 handler.py 冲突,调用时该文件会被执行。若计划安装:1)自行审阅 handler.py(简短易读),确认仅使用给定输入与标准库(无网络、无写文件);2)如需额外安全,先在沙箱或隔离环境运行;3)若需绝对保证不执行代码,请拒绝安装——纯指令型技能(无 handler 文件)更符合该承诺。若欲继续但存疑,请向发布者询问为何在声明“无代码执行”时仍附带可执行 handler。...详细分析 ▾
✓ 用途与能力
名称、描述、skill.json 标签与 handler.py 逻辑完全一致:这是一个仅解析用户文本并返回 JSON 建议的营运资金分析描述性技能,不请求任何无关的二进制文件、API 或凭据。
⚠ 指令范围
SKILL.md 反复强调“无真实代码执行”“无外部 API 调用”,但软件包却包含可执行的 handler.py 及调用它的测试。该 handler 为自包含(仅读取用户输入,不访问文件、环境变量或网络),然而可运行代码的存在与直白的安全声明相矛盾,可能误导非技术评审者。
✓ 安装机制
未提供安装规范(仅含说明)。包含代码文件,但未从外部 URL 下载或安装任何内容。安装机制风险较低。
✓ 凭证需求
未声明或引用任何必需的环境变量、凭据或配置路径。handler.py 仅使用提供的文本输入,并依赖标准库模块(json、sys、re)。
✓ 持久化与权限
技能标志为默认值(always:false,user-invocable:true,允许模型调用)。该技能不请求持久或提升权限,也不修改其他技能或系统配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
- Working Capital Optimizer 初始发布。
● 无害
安装命令
点击复制官方npx clawhub@latest install working-capital-cash-cycle-optimizer
镜像加速npx clawhub@latest install working-capital-cash-cycle-optimizer --registry https://cn.longxiaskill.com镜像同步中