面试助手

要不要安装／运行此次技能前请考虑： - 功能与期望一致：技能确实是为解析简历/JD 并生成题目或优化简历设计的，主要由 parse_input.py 实现；python 是合理依赖。 - 敏感数据上传：仅在处理图片或扫描版 PDF 时会触发 OCR，并把文件以 base64 上传到脚本使用的 OCR endpoint（STRUCT_ENDPOINT）。SKILL.md 建议使用 PaddleOCR 的 AIStudio token，但脚本默认的 SERVER_URL 看起来不是明显的官方主域名。若你担心隐私，避免上传图片/扫描件，改为直接粘贴文字或先在本地用可信 OCR 工具转换为文本再使用。 - 自动安装依赖：脚本会尝试使用 uv 安装依赖，若不可用会回退到 pip。自动安装会下载并安装 Python 包到运行环境——建议在虚拟环境或隔离容器中运行，避免污染系统 Python 或安装不受信任的软件包。 - 验证与审计建议： - 检查/修改默认 SERVER_URL：在 .env 中明确设置 PADDLEOCR_SERVER_URL 为你信任的服务或留空以避免远端 OCR。若不信任默认地址，不要填写 PADDLEOCR_TOKEN 并避免触发 OCR 路径。 - 审阅 parse_input.py 源码（已包含），确认没有其它隐藏网络调用；从提供的源码看除了 OCR 上传和可能的 pip 安装外无额外外联逻辑。 - 如需最低风险使用：直接粘贴文字内容或自行在本地做 OCR，再把纯文本交给技能处理。 - 如计划长期使用或加入到生产代理，优先在隔离环境中测试，并确认依赖安装行为与你的安全策略兼容。 总体判断：技能大体上是“看起来做它声称要做的事”，但默认 OCR endpoint 与文档不完全一致且会上传简历内容到远端，所以在信任该远端前把风险视为可疑并采取上面建议的缓解措施。