Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Flowchart Gen
v1.0.0将自然语言描述转换为流程图图片(Mermaid语法),支持DeepSeek API智能生成、多种图表类型、丰富的模板库和智能错误处理
⭐ 0· 44·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称/描述与所需二进制 (python3, mmdc) 和 mermaid-cli 渲染能力一致。模板库、多个图表类型与错误处理特性与代码中声明的功能相符。异常之处:包元数据没有声明任何必需的环境变量或配置路径,但文档和脚本明确依赖 DEEPSEEK_API_KEY/OPENAI_API_KEY 或 OpenClaw 配置文件,这在注册元数据与实际需求间不一致。
Instruction Scope
SKILL.md 与 scripts/generate.py 指示自动从用户主目录的 OpenClaw 配置 (~/.openclaw/openclaw.json 或 Windows 特定路径) 读取 DeepSeek 配置并提取 api_key;这意味着技能会读取用户主配置文件以获取凭据。脚本还会尝试检测系统 Chrome 路径并设置 PUPPETEER_EXECUTABLE_PATH。测试脚本引用 templates/ 目录和多达31个模板,但发布包的文件清单中未包含 templates/ 目录 —— 这是不一致且会导致运行时失败或隐蔽网络调用回退到LLM。总体上指令会访问用户配置和环境变量,范围超出单纯“生成图片”的最小需求,应予以注意。
Install Mechanism
技能是指令/脚本型(没有注册的 install spec),SKILL.md 中提供了 npm 和 pip 的安装建议(@mermaid-js/mermaid-cli、pillow、requests)。没有自动下载或可疑外部二进制来源声明,风险较低,但注册元数据未将这些安装步骤标准化(即平台级 install spec 缺失),用户需要手动运行 npm/pip。
Credentials
注册信息没有列出任何必需环境变量,但脚本会优先读取环境变量 DEEPSEEK_API_KEY 或 OPENAI_API_KEY,并会解析 ~/.openclaw/openclaw.json 来提取 DeepSeek API 密钥。访问和解析用户的 OpenClaw 配置文件并非在元数据中声明的配置路径,这增加了凭据泄露或未经预期使用的风险(即使脚本看起来仅为 DeepSeek 提取特定字段)。此外,scripts/test_basic.py 会尝试访问 templates/ 目录(清单中缺失),提示包完整性问题。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能或全局代理配置。自动调用LLM(默认允许)是平台常态,但应注意:当技能被允许自主运行时,读取本地 OpenClaw 配置会扩大潜在泄露面。总体权限请求本身不高,但与未声明的配置访问结合时需谨慎。
What to consider before installing
简明建议:
1) 在安装或运行前,审阅 scripts/generate.py 的完整实现(确认它如何调用远端API、是否会发送本地文件/配置);
2) 注意该脚本会尝试自动读取 ~/.openclaw/openclaw.json(以及一个硬编码的 Windows 路径)来获取 DeepSeek 配置——如果你不希望技能访问你的 OpenClaw 凭据,请不要放置或不要授予该文件可读权限,或在运行时不要在环境中设置相关 API_KEY;
3) 验证包完整性:manifest 中未包含 templates/ 目录但代码/测试引用它,安装前确认模板文件是否随分发包一并提供,否则可能导致回退到网络API;
4) 运行时优先在隔离环境(容器或受限制的虚拟机)中测试,观察网络调用(例如使用网络监控 / egress 控制)并确认仅向你信任的 LLM/DeepSeek/OpenAI 端点发出请求;
5) 若你不想让技能自动使用在线LLM,可明确通过 --no-llm 参数运行,或在运行环境中不设置 DEEPSEEK_API_KEY/OPENAI_API_KEY;
6) 若对读取 ~/.openclaw/openclaw.json 行为不能接受,联系技能发布者要求在元数据中显式声明此行为或移除自动读取逻辑。Like a lobster shell, security has layers — review code before you run it.
latestvk978z4rjrdjv7y5bpmwq9f7p4x84mvv4
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
📊 Clawdis
Binspython3, mmdc