Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Implement From Design
v1.0.0基于 Figma、Sketch、MasterGo、Pixso、墨刀或摹客的设计上下文实现页面或组件,强调复用、设计 Token 映射以及面向生产的前端实现方式,并将实现计划保存为 Markdown 文件。当用户提供设计稿链接、设计选区、截图或要求按设计稿实现组件/页面时自动激活。
⭐ 0· 74·0 current·0 all-time
byBovin Phang@bovinphang
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明支持从 Figma、Sketch、MasterGo、Pixso、墨刀、摹客 获取设计上下文并据此生成实现计划。这与技能名称和描述一致;然而 SKILL.md 反复提到通过 'MCP' 或 API 获取数据(例如 Figma API、MasterGo DSL),但技能元数据未声明任何需要的环境变量或凭据(比如 FIGMA_TOKEN)。这可能是因为平台本身提供这些集成,但若不是,则存在不一致:实现这些功能通常需要外部 API 权限。
Instruction Scope
SKILL.md 的运行指令聚焦于读取设计上下文、在仓库中搜索可复用组件、产出实现计划并将其写入 reports/ 目录。它还建议运行 lint 和测试。所有这些操作都在技能声明的职能范围内,但要注意技能将访问代码库文件系统、可能调用外部设计 APIs、并会写入磁盘(reports/)。SKILL.md 明确指出在缺少 MCP 时向用户索要截图并避免凭空编造视觉数据,这是可取的限制。
Install Mechanism
这是一个纯说明性技能(instruction-only),没有安装规范、没有下载或执行额外代码,风险较低。
Credentials
技能文本多次引用需要访问 Figma、MasterGo、Pixso 等工具的 API 或 MCP 连接,但技能元数据未列出任何所需环境变量或凭据。缺乏声明让人无法判断凭据需求是否被平台或其他组件隐式满足;如果平台不会自动提供这些连接,技能在运行时可能会请求敏感令牌或要求用户粘贴凭证。总体上环境/凭据请求与技能声明存在信息缺口,值得核实。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或系统范围配置的行为。写入报告文件到项目根目录的 reports/ 是合理且受限的持久化行为,但用户应确认写入路径和权限是否符合预期。
What to consider before installing
这个技能总体上看起来是为“按设计稿实现前端”而写、没有可执行安装包、也没有恶意代码。但在允许使用前请确认:1) 平台是否为技能提供了对 Figma/MasterGo/Pixso 等的安全连接(如果没有,技能可能会请求你粘贴 API Token);2) 如果要授予凭据,限制其最小权限并确认令牌仅用于读取设计数据;3) 确认允许该技能访问你的代码仓库并在项目根目录写入 reports/ 文件(或要求它先征得你同意);4) 要求技能在执行外部 API 调用或写入文件前提示并展示具体计划;5) 如有疑虑,可先在含有测试/示例代码的隔离仓库中试运行,确认输出与说明一致。若需要,我可以帮你拟一条短消息询问技能作者或维护者这些细节。Like a lobster shell, security has layers — review code before you run it.
latestvk978per3t77t17she39q4x2stx83n939
License
MIT-0
Free to use, modify, and redistribute. No attribution required.