ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Dify 8D分析助手

v1.0.1

当用户问题以「调用 8D 报告分析助手」开头时,调用 Dify API 进行 8D 问题分析

0· 66·0 current·0 all-time
by@langwang1pm

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for langwang1pm/dify-8d-analyzer.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "Dify 8D分析助手" (langwang1pm/dify-8d-analyzer) from ClawHub.
Skill page: https://clawhub.ai/langwang1pm/dify-8d-analyzer
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install dify-8d-analyzer

ClawHub CLI

Package manager switcher

npx clawhub@latest install dify-8d-analyzer
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能描述说“调用 Dify API 进行 8D 问题分析”,但运行步骤并不直接调用 Dify API,而是执行一个位于 /home/gem/workspace/agent/scripts/dify_router.sh 的本地脚本;SKILL.md metadata 要求 bins(timeout, curl, jq),但注册元数据声称无必需二进制,二者不一致。调用远端 API 通常需要声明 API 密钥或凭证,但此技能未声明任何环境变量或主凭据,导致用途与所需权限/输入不匹配。
!
Instruction Scope
运行指令要求从消息上下文读取 sender_id(用户 open_id)并将“用户完整消息(含前缀)”与 open_id 一并传给本地脚本;脚本路径为绝对路径,位于宿主文件系统的用户工作区而不是技能包内,脚本的行为对技能外不可见。以 stdout 原样返回脚本输出、并在后台执行(background/yieldMs)会把任意脚本输出发回用户且可能把敏感信息或凭据泄露给外部服务。没有输入校验、无须提供/声明脚本内容或网络交互目标。
Install Mechanism
该技能为 instruction-only、无安装规范,因此不会在安装时写入或下载代码(这降低了安装阶段的风险)。不过在运行时会调用宿主上的本地脚本,这意味着风险在运行时而非安装时暴露——需要验证该脚本的来源与实现。
!
Credentials
技能未声明任何环境变量或凭据(primary credential: none),但其目标是调用 Dify API——通常需要 API key/secret;缺失凭据声明不合常理。技能会传递用户 open_id 和完整消息到本地脚本,这会将用户标识与可能的敏感对话内容暴露给脚本和脚本后端。SKILL.md 中列出的必需二进制(timeout/curl/jq)合理用于网络请求,但没有进一步说明谁保管 Dify 凭据或凭据如何安全使用,比例不当且不透明。
Persistence & Privilege
技能没有设置 always:true,也不会自动长期驻留配置中,权限等级在这方面正常。但允许执行任意本地脚本(绝对路径)并在后台运行具有很高的运行时特权:脚本可以访问文件系统、网络和凭据,产生广泛影响。建议将此视为高风险运行时权限,需限制与审查。
What to consider before installing
该技能的描述与实际行为不一致:它声称调用 Dify API,但实际上委托一个本地脚本(/home/gem/.../dify_router.sh)去做这件事,而技能包没有提供该脚本、也未声明任何 API 凭据。安装前请要求技能提供:1) dify_router.sh 的完整源代码和维护者说明;2) 明确说明 Dify API 凭据的存放位置与访问方式(应以环境变量声明并仅限于脚本使用);3) 解释为何需要传递用户 open_id,并确认是否有最小化或脱敏方案;4) 若可能,要求将对 Dify 的调用改为技能内明确的、受控的网络请求并在 manifest 中声明所需 env(例如 DIFY_API_KEY),而不是依赖宿主上的绝对路径脚本。在未能验证脚本来源与行为前,避免启用或授权该技能运行 exec/background 命令;如果必须运行,请在隔离环境(受控容器)中审计并限制脚本权限。

Like a lobster shell, security has layers — review code before you run it.

latestvk979nr7mgnhdbnaebmxs6335mn8505jg
66downloads
0stars
2versions
Updated 1w ago
v1.0.1
MIT-0
@langwang1pm
latest
Download

8D 报告分析助手

当用户发送以「调用 8D 报告分析助手」开头的消息时,自动调用 Dify API 进行分析。

触发条件

  • 用户消息以 调用 8D 报告分析助手 开头
  • 例如:调用 8D 报告分析助手,帮我分析最近三个月的问题分布

执行步骤

  1. 提取问题:去掉前缀 调用 8D 报告分析助手,保留后面的实际问题内容
  2. 获取用户 ID:从当前消息上下文的 sender_id 获取用户 open_id
  3. 调用脚本:使用 background 模式执行命令 
    timeout 180 /home/gem/workspace/agent/scripts/dify_router.sh "用户完整消息(含前缀)" "用户open_id"
    注意:使用 exec 工具时设置 background: trueyieldMs: 180000,让 OpenClaw 自动等待完整执行
  4. 返回结果:将脚本输出(stdout)作为回复发送给用户

重要配置

exec 执行超时设置

  • timeout: 180 秒(确保 Dify 有足够时间处理)
  • yieldMs: 180000(让 OpenClaw 等待 3 分钟再自动后台化)

示例

用户发送

调用 8D 报告分析助手,帮我分析最近三个月反馈最多的问题分布

处理

  1. 提取问题:帮我分析最近三个月反馈最多的问题分布
  2. 获取用户 ID:ou_7e872e790d6c2b4c3cd363ccf6a70d98
  3. 执行:exec(command: "timeout 180 /home/gem/workspace/agent/scripts/dify_router.sh ...", timeout: 180, yieldMs: 180000)
  4. 返回:Dify 的分析结果

注意事项

  • Dify 可能需要 30-120 秒处理复杂分析,请耐心等待
  • 如果脚本返回错误(如 ERROR: 开头),将错误信息告知用户
  • 脚本会维护多轮对话会话,无需用户重复提供上下文

Comments

Loading comments...