ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

业绩评价分析

v1.0.0

业绩评价分析工具。整合目标达成、环比、基线、Benchmark四个维度,量化"业绩不达预期"分析。 核心能力: 1. 四维度综合评价(目标达成、环比、历史基线、同行Benchmark) 2. 预期类型识别(目标、环比、基线、Benchmark) 3. 达成率计算与状态判定(正常/关注/告警/紧急) 4. 综合评价...

0· 84·0 current·0 all-time
byXtechmerge.AI@gwyang7
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
!
Purpose & Capability
技能名与描述(整合目标、环比、基线、Benchmark)与大部分实现一致:有 evaluate_target、evaluate_mom、evaluate_baseline、以及周末专项。但代码中没有实现或调用任何名为 benchmark 的维度/函数(SKILL.md 和 manifest 提到的同行Benchmark 未在代码中体现)。此外,analyze.py 在顶部硬编码插入了一个绝对本地路径 sys.path.insert(0, '/Users/yangguangwei/.openclaw/workspace-front-door'),这与技能的业务目的不符——没有理由需要访问调用者机器上的特定用户目录。
!
Instruction Scope
SKILL.md 指令和示例都只描述如何调用综合评价函数并列出依赖的其它 skills;运行时说明没有要求访问本地文件或环境变量。然而实际代码修改了 Python 模块搜索路径以包含一个特定用户的本地目录,这赋予技能在运行时从该目录加载任意模块的能力(SKILL.md 未提及)。这种行为扩大了技能的执行范围并可能导致加载不受信任的本地代码。
Install Mechanism
没有安装规范(instruction-only + 包含源码),也没有外部下载或第三方依赖。代码只使用标准库,不会在安装时从网络拉取或写入额外二进制文件。
!
Credentials
技能声明不需要任何环境变量或凭据(这是合理且低权限),但硬编码的绝对路径指向调用者机器的用户目录。即便代码当前不显式读取该目录的文件,向 sys.path 注入该路径会允许在运行时隐式导入该目录下的任意模块,从而可能访问本地敏感数据或执行本地代码。因此请求的环境访问看似为零,但实际代码行为使得本地资源可被间接利用——这是不成比例的风险。
Persistence & Privilege
没有设置 always:true;技能默认可被用户调用并允许模型自主调用(平台默认)。该技能未修改其它技能或系统级配置,亦不尝试持久化凭据或自身配置。
What to consider before installing
这个技能总体上实现了业绩维度的模拟评估,源码也易读且不依赖网络。但有两个需要特别注意的地方: 1) 须警惕硬编码本地路径:analyze.py 在顶部将 '/Users/yangguangwei/.openclaw/workspace-front-door' 插入 sys.path,会允许技能在运行时从该特定用户目录导入任意 Python 模块。不要在包含敏感数据或生产系统的环境中直接运行此技能,除非作者移除该行或改为使用相对/包内导入。 2) 缺失/不一致的功能声明:SKILL.md 提到同行 Benchmark 维度,但代码中没有实现对应的 evaluate_benchmark 或类似逻辑。询问作者为何未实现该维度,或是否后续会从其它 skills 调用数据。 建议在决定安装前采取以下步骤: - 要求作者解释并移除硬编码 sys.path.insert 行,或改为标准包导入; - 要求实现或明确说明 benchmark 维度的数据来源; - 在隔离环境(容器或沙箱)中先运行并审计行为,查看是否尝试导入本地模块或读取非预期文件; - 若要在生产环境中使用,优先使用经过修正后的版本(无绝对路径注入)并做代码审计/静态扫描。 如果作者能移除那个绝对路径注入并提供/实现 benchmark 功能,评估可提升为 benign。当前判断为 suspicious(中等置信度)。

Like a lobster shell, security has layers — review code before you run it.

latestvk979hjmbr3g9cjymvnpzyw178583nnac

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments