Back to skill
Skillv1.1.0
ClawScan security
PPT Pandora · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 29, 2026, 8:09 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这是一个纯文档(instruction-only)的 PPT 制作流程指南,所需权限与描述内容一致,未发现与其用途不符的权限或安装动作。
- Guidance
- 该技能是一本详细的 PPT 制作与 python-pptx 编程指南,属于 instruction-only,整体内部一致。注意事项: - 在执行示例代码前,先在隔离环境中审阅并测试(示例依赖 python、python-pptx、Pillow、lxml 等库,需自行安装)。 - 文档包含一个将文件发送到飞书的 openclaw CLI 示例;如果你运行类似命令会把文件上传/发送到外部团队/组织,请确认目标地址和凭据安全且合规。技能元数据并未声明需要 openclaw 二进制或任何凭据(这是一个文档示例,而非自动化上传授权)。 - 部分示例涉及从 gov.cn、证券研究所或其它网站抓取图片,使用这些图片前请注意版权与合规性;避免未经许可地收集或传播受限材料。 总体建议:这项技能在功能与要求上自洽,可安全阅读并按需手动采用其代码片段;但在真正运行任何会进行网络传输或发送文件的命令之前,请先确认环境依赖与目标端点,并在受控环境或沙箱中测试。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述对应于“PPT 全流程制作”,SKILL.md 中的内容(图片收集、裁剪、排版、python-pptx 示例等)与声明的目的高度一致,没有要求与目的不符的系统权限或外部凭据。
- Instruction Scope
- note说明文档只包含具体的 PPT 操作和代码片段(python-pptx、PIL、XML 操作、emoji 扫描等),总体上在边界内。但文档示例中包含一个 openclaw CLI 的发送命令(openclaw message send --channel feishu ...),该命令会把生成的文件发送到外部协作平台——这与“交付/发送 PPT”目的相关,但在元数据里未声明所需二进制或凭据,建议在运行此类发送命令前确认目标与凭据。
- Install Mechanism
- ok无安装规范(instruction-only),没有从网络下载或写入磁盘的安装步骤,风险最低。需要运行示例代码时会隐含依赖(python、python-pptx、Pillow、lxml 等),但这些依赖未在元数据中声明。
- Credentials
- ok技能不声明任何环境变量或凭据,也不要求访问配置路径;文档示例不会强制读取系统凭据或秘密。唯一需要注意的是示例中的 openclaw/飞书 发送命令会使用平台通道/目标标识(需要相应凭据),但这些凭据没有被声明——这本身不是恶意,但在运行前应确认凭据来源与用途。
- Persistence & Privilege
- okflags 显示 always:false,技能不会被强制常驻或修改其它技能配置;没有自我安装或持久化行为的说明。