v1.0.0

门店销售业绩分析

BenignClawScan verdict for this skill. Analyzed May 1, 2026, 8:23 AM.

Analysis

该技能主要按说明读取门店销售数据并生成分析，未显示破坏、外传或隐藏行为，但会调用本地 API 客户端访问业务数据，安装前应确认该依赖和数据权限。

Guidance该技能看起来是一个读取门店销售 API 并生成业绩诊断的工具。安装前请确认你信任本机的 api_client 依赖，并确认代理只会分析你有权限查看的门店或导购数据。

Findings (2)

Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.

Abnormal behavior control

Checks for instructions or behavior that redirect the agent, misuse tools, execute unexpected code, cascade across systems, exploit user trust, or continue outside the intended task.

Agentic Supply Chain Vulnerabilities

SeverityLowConfidenceHighStatusNote

analyze.py

sys.path.insert(0, '/Users/yangguangwei/.openclaw/workspace-front-door')
from api_client import get_copilot_data

代码从技能包外的硬编码本地路径导入 api_client；该依赖用于数据获取且在文档中提到，但其代码未包含在本次 artifact 中。

User impact技能运行结果取决于本机该路径下的 API 客户端实现；如果该本地依赖不是预期版本，可能影响数据访问行为或运行稳定性。

Recommendation安装前确认该本地 API 客户端路径和模块来源可信，最好使用明确声明、可复现的依赖路径或随包提供受审计的客户端。

Permission boundary

Checks whether tool use, credentials, dependencies, identity, account access, or inter-agent boundaries are broader than the stated purpose.

Identity and Privilege Abuse

SeverityLowConfidenceMediumStatusNote

SKILL.md

GET /api/v1/store/dashboard/bi?storeId={store_id}&fromDate={from}&toDate={to}

技能通过门店 dashboard API 读取销售和会员相关业务指标；这与业绩分析目的一致，但依赖用户环境中的账号/API 权限。

User impact安装后，代理可在用户请求分析时读取相应门店时间范围内的销售业绩数据，可能包含商业敏感信息。

Recommendation仅在确认该代理有权访问这些门店数据时使用，并避免输入无授权的门店或导购标识。