Skill Risk Splitter
v1.0.0把职责过杂的 Skill 拆成安全版、增强版或多子 Skill,降低扫描和维护风险。;use for skills, refactor, risk workflows;do not use for 为了拆分而失去清晰定位, 隐藏高风险行为.
⭐ 0· 91·0 current·0 all-time
byvx:17605205782@52yuanchangxing
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
名称、描述与实际内容一致:目标是把职责过杂的 Skill 拆分并产出可审阅的结构化草案。唯一运行时要求是 python3,仓内包含 scripts/run.py、resources 模板与 spec.json,都是为该目的所需。
Instruction Scope
SKILL.md 明确要求先产出可审阅草案并在缺信息时列出待确认项。运行脚本会读取用户提供的输入(文件或目录)、扫描文件内容并基于模板生成报告。可注意点:脚本会读取传入目录下的任意文本文件并生成报告——这是审计工具的预期行为,但用户应避免将其指向包含敏感凭据或私有数据的目录。脚本明确未包含远程写入/执行网络命令的步骤,也不隐式访问未声明的环境变量。
Install Mechanism
这是 instruction-only + included Python script 的组合,没有 install spec、无外部下载或第三方包需求,仅依赖系统的 python3 与标准库,风险较低。
Credentials
不请求任何环境变量、凭据或配置路径;唯一二进制依赖是 python3,与其用途直接相关且成比例。
Persistence & Privilege
always 为 false,未请求常驻或修改其他技能/系统配置。默认允许模型调用(平台默认),单凭此项不构成风险;结合其它维度也没有发现滥用权限的证据。
Assessment
该 Skill 是一个本地审计/拆分辅助工具,整体内聚且与其描述一致。建议在安装/使用前:
- 以 --dry-run 先运行脚本并检查输出,确认行为符合预期。
- 不要把 --input 指向根目录、用户主目录或包含凭据/密钥的目录;仅对要分析的 Skill 代码目录或去敏感化的样本运行。
- 快速人工审查 scripts/run.py(已随包提供),确认没有不期望的网络调用或外部执行逻辑(当前代码仅做文件读取、文本分析与报告生成)。
- 如果你不希望代理自动在背景中调用该 Skill,可在代理配置中禁用其自动调用权限或仅在需要时手动调用。Like a lobster shell, security has layers — review code before you run it.
latestvk9722gcbjd1y6rzrnfkq911jch83939a
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
✂️ Clawdis
OSmacOS · Linux · Windows
Binspython3