Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
交易记录生成
v1.0.0根据指定账期的招商银行活期、理财及对公账户源数据生成包含明细和资金汇总的标准化交易记录Excel文件。
⭐ 0· 54·0 current·0 all-time
byzen@courage-zen
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称/描述(根据招商银行活期/理财/对公源数据生成交易记录 Excel)与包含的脚本功能一致:读取 CSV/.xls/.xlsx、汇总并生成带公式的 Excel 文件。所需依赖(openpyxl, xlrd)与功能相符。
Instruction Scope
SKILL.md 指示以当前目录为默认输入/输出,但脚本 clean_csv_file 会在原路径以 UTF-8 编码覆盖源 CSV 文件(就地写回),这在文档中未明确说明;脚本默认使用当前工作目录,这意味着在不谨慎运行时可能读取并修改非目标文件。SKILL.md 未提示必须备份源文件或说明会修改源文件,给用户带来意外数据丢失风险。
Install Mechanism
无安装规范(instruction-only),仅建议使用 pip 安装 openpyxl 和 xlrd —— 属于常规、低风险的 Python 依赖。没有从不可信 URL 下载或执行归档的行为。
Credentials
技能不要求环境变量、凭证或配置路径,也没有明显尝试访问系统凭证或网络。所需权限与处理本地账务文件相称。
Persistence & Privilege
没有请求常驻(always)或修改其它技能/系统设置的能力。默认允许模型调用(平台默认),但这与脚本本身无直接风险放大。
What to consider before installing
这个技能看起来是为生成标准化交易 Excel 而写,且没有请求网络或凭证,但有几点在安装/运行前请注意:
- 备份源文件:脚本中的 clean_csv_file 会就地覆盖 CSV 文件(以 UTF-8 写回),可能导致原始导出格式或编码丢失。先备份源 CSV。
- 明确指定输入/输出目录:不要在包含其它敏感文件的工作目录直接运行,始终使用 --input-dir 和 --output-dir 指向一个隔离的测试目录以避免意外读取或修改其他文件。
- 先在样例数据上测试:在生产数据上运行前,用少量或脱敏数据确认输出格式和 Excel 公式行为。
- 源代码审查:如果你担心数据外泄或其它行为,打开并人工检查两个脚本的完整内容(注意 truncated 部分),确认没有网络/上报/远程上传逻辑。
- 环境隔离:若不确定,可在隔离的虚拟环境或容器中运行该脚本以减少对主机文件系统的影响。
基于上述未说明的就地修改和默认读取当前目录行为,我将其标为“可疑(suspicious)”;若脚本被确认不会进行网络通信且你接受就地修改行为,可将风险降至可控。Like a lobster shell, security has layers — review code before you run it.
chinesevk972pjsemqb7yy1y7cpz0v1k79841zc0excelvk972pjsemqb7yy1y7cpz0v1k79841zc0financevk972pjsemqb7yy1y7cpz0v1k79841zc0latestvk972pjsemqb7yy1y7cpz0v1k79841zc0
License
MIT-0
Free to use, modify, and redistribute. No attribution required.