设计框架套件 - 确认处理器
v2.0.0设计框架自动生成套件(确认处理器):处理用户对设计框架预览的回复,支持确认/取消/重新生成
⭐ 0· 35·0 current·0 all-time
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
名称和描述为“设计框架确认处理器”,SKILL.md 只做与确认/取消/重新生成和超时通知相关的文件/通知操作;所需的二进制、环境变量或配置路径为空,与声明目的没有不相称的请求。
Instruction Scope
运行时指令限定在检查 /tmp/design-framework-lock、更新/创建 /tmp/design-framework-confirmed、清理临时文件、重新生成框架并发送预览以及调用 $SK/timeout_notify.sh 等脚本。指令对“重新生成”和“清理”步骤较为抽象,实际行为取决于外部脚本(未包含)。这种依赖外部脚本使得运行时效果不透明——脚本可能执行额外网络或文件操作。
Install Mechanism
这是指令-only 的技能,没有安装规范或下载步骤,因而没有额外安装风险。
Credentials
技能不请求任何环境变量、凭证或配置路径。其需要访问的资源仅为 /tmp 下的一些锁和标记文件,这与其用途相称。
Persistence & Privilege
技能未设置 always:true,也未声明修改系统或其他技能的配置。它通过检测/修改 /tmp 文件维持短期状态,权限需求有限且与功能相符。
Assessment
在安装或启用前请确认以下几点:
- 该 skill 引用并调用位于 $SK 的脚本(例如 timeout_notify.sh)以及同套件中另一个 skill 的安装文档,但这些脚本并未包含在本包中。向发布者索取并审查这些脚本的内容,确认它们不会访问敏感文件、外部未授权端点或凭证。
- 验证“重新生成”和“清理”步骤的实现边界(会不会执行网络请求、写入非 /tmp 路径、读取环境变量等)。
- 如果你希望最小化风险,只在受控环境(受限账户或沙箱)中先运行并观察行为,或要求将实现改为明确列出需要的文件/命令。
总体上该技能在描述和请求上是一致的,但其真正行为取决于外部未提供的脚本——这就是我保持中等置信度的原因。Like a lobster shell, security has layers — review code before you run it.
design-framework-suitelatest
设计框架套件 - 确认处理器
「设计框架自动生成套件」的第三个 skill,负责在框架预览发出后,处理用户的回复指令。
触发条件
/tmp/design-framework-lock 存在(表示有任务正在等待确认)。
支持的回复指令
| 用户回复 | 动作 |
|---|---|
| 确认 / ✅ / 好的 / ok / 可以 / 行 / 没问题 | 写入 confirmed 标记,触发生图流程 |
| 取消 / ❌ | 清理所有临时文件,发送"已取消" |
| 重新 / 🔄 | 重新生成框架和 prompt,发送新预览 |
| @mention(重复触发) | 回复"此需求已在处理中" |
| 其他内容 | 更新心跳时间,静默忽略 |
超时机制
每次收到消息时检查时间戳,超过 10 分钟未确认自动取消,群内发送超时通知。
执行流程
# 超时检查
bash $SK/timeout_notify.sh; [ $? -eq 1 ] && exit 0
# 按优先级依次匹配回复内容
确认词 → touch /tmp/design-framework-confirmed
取消词 → 清理 + 通知
重新词 → 重新生成框架 + 发预览
@mention → 提示已在处理中
其他 → 更新时间戳静默退出
安装说明
请参考 design-framework-sender skill 的安装文档。
Comments
Loading comments...