ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

设计框架套件 - 生图交付

v2.0.0

设计框架自动生成套件(生图交付):用户确认后自动生成概念图并私发给 Bot 主人

0· 35·0 current·0 all-time
by@807209066
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
!
Purpose & Capability
名称与描述说明在用户确认后生成概念图并私发给 Bot 主人,这与 SKILL.md 中的行为描述一致。但是 SKILL.md 依赖于外部脚本(design-framework-sender/ 下的多个 .sh 和 config.py)以及 OpenRouter/模型访问,这些脚本和任何所需凭据并未包含或在元数据中声明,导致实现上不完整且不透明。
!
Instruction Scope
指令要求检测 /tmp/design-framework-confirmed、删除该标记、解析文本、调用 generate_image.sh(使用 OpenRouter/seedream 模型)、私发文本/图片给 Bot 主人并写入 last-task.txt、清理临时文件。读取/写入临时文件和私发行为本身可解释为正常工作流,但 SKILL.md 给出的脚本是未提供的黑箱,且私发给“Bot 主人”会将用户内容传给外部接收方——SKILL.md 未声明如何获得或保护这些发送通道的凭据或接收者同意。
Install Mechanism
这是 instruction-only 技能,没有安装规范或代码文件写入磁盘(降低了直接供应链风险)。但技能依赖未打包的本地脚本/模块(design-framework-sender/),这在包内缺失:说明和实际可运行性不一致,用户无法验证这些脚本的行为。
!
Credentials
SKILL.md 明确会调用 OpenRouter API 和向 Bot 主人私发消息,这通常需要 API 密钥或机器人令牌,但注册表元数据声明“无需环境变量/凭据”。缺失的凭据声明和未包含的 config.py 表明请求的外部访问未被声明或审查,比例不当且不透明。
Persistence & Privilege
技能没有设置 always:true,也不声明修改其它技能或系统范围配置。它会在本地读写短期文件(/tmp 标记、last-task.txt)并清理临时文件,这是一个有限的本地副作用,符合其自动触发工作流。
What to consider before installing
这个技能声称在用户确认后生成并私发概念图,流程本身合理,但包里没有任何实际脚本或任何说明要如何提供所需的 API 密钥/机器人令牌。不要安装或启用前,请确认:1) 提供或查看 design-framework-sender 目录下的脚本和 config.py 的完整源代码,确保它们没有向未知服务器上传数据;2) 明确需要哪些 API 密钥(OpenRouter、消息发送服务等),以及这些凭据会如何被存储/使用;3) 是否同意“私发给 Bot 主人”的行为和接收者;4) 若可能,在隔离环境中先运行并审计这些脚本。若无法获得脚本源码和凭据说明,则应将此技能视为不安全并避免启用。

Like a lobster shell, security has layers — review code before you run it.

design-framework-suitevk978k769jz6qbbnm5cfjs58y2185bvz1latestvk978k769jz6qbbnm5cfjs58y2185bvz1
35downloads
0stars
1versions
Updated 23h ago
v2.0.0
MIT-0
@807209066
design-framework-suitelatest
Download

设计框架套件 - 生图与交付

「设计框架自动生成套件」的第四个 skill,负责在用户确认后执行生图、私发框架文本和概念图、发送完成通知。

触发条件

/tmp/design-framework-confirmed 文件存在(由 design-framework-confirm skill 写入)。

执行流程

  1. 删除 confirmed 标记:防止重复触发
  2. 提取宽高比:从设计框架中解析输出规范
  3. 生成概念图:调用 generate_image.sh,使用 bytedance-seed/seedream-4.5 模型
  4. 私发框架文本:通过 send.sh 发送给 Bot 主人
  5. 私发概念图:通过 send_image_only.sh 发送给 Bot 主人
  6. 群内完成通知:发送「已接受,明确需求 ✅」
  7. 去重记录 + 清理:写入 last-task.txt,清理所有临时文件,释放锁

依赖脚本

所有脚本均位于 design-framework-sender/ 目录:

  • generate_image.sh:调用 OpenRouter API 生成图片
  • extract_ratio.sh:从框架文本提取宽高比
  • send.sh:私发文本消息
  • send_image_only.sh:私发图片
  • config.py:统一配置读取

异常处理

  • 私发框架失败 → 群内提示失败,清理并退出
  • 生图失败 → 群内提示"概念图生成失败",清理并退出

安装说明

请参考 design-framework-sender skill 的安装文档。

Comments

Loading comments...