Back to skill
Skillv2.0.0
ClawScan security
homework-grader · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
ReviewMar 13, 2026, 7:51 AM
- Verdict
- Review
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 代码和说明总体与“作业批改”目的相符, 但存在不一致的依赖说明和部署/运行注意事项,表明作者疏漏或打包不完整 — 在安装并提供学生数据前请确认依赖与数据处理位置。
- Guidance
- 这个 skill 在功能上看起来是做作业识别与报表生成的正常工具,但作者在打包说明上有明显疏漏。重点注意: - 依赖不完整:scripts/requirements.txt 未包含 generate_pdf.py 所需的 weasyprint;weasyprint 还需要系统级库(cairo、Pango 等),而 SKILL.md 只提示安装 tesseract。安装前请手动确认并安装 weasyprint 及其本地依赖,或在虚拟环境中测试。 - 运行环境:需要安装 tesseract-ocr(系统包),并确保 pytesseract 能找到 tesseract 可执行文件。PDF 生成可能在不同平台需要额外步骤。 - 数据隐私:脚本会在本地写出 Excel/PDF/JSON,包含学生姓名与答案。确保在安全的环境/目录中运行,确认谁能访问这些输出文件,避免将学生数据上传到第三方或共享目录。 - 兼容性与准确性:OCR 与答案解析基于简单正则,复杂格式的试卷可能被误判。建议先用假数据或少量样本测试识别与批改逻辑。 若你计划安装并使用此 skill:先在隔离环境(虚拟环境或容器)中验证并修复依赖(向 requirements.txt 添加 weasyprint 并安装 weasyprint 的系统依赖),检查生成文件的保存路径与权限,并用非敏感测试数据运行端到端流程。
Review Dimensions
- Purpose & Capability
- okSkill 名称、描述与包含的脚本(OCR、批改、生成 Excel/PDF)在功能上相符;所需的外部服务/凭据也未被请求,未见与用途不相关的权限或环境变量。
- Instruction Scope
- noteSKILL.md 指示老师上传答案图片与学生作业并确认识别结果,脚本只读取由用户提供的图片/JSON 并写出 Excel/PDF,未看到会读取系统敏感路径或隐蔽传输数据的指令。不过说明未明确文件保存位置/默认权限;若在多人托管环境运行,应注意生成文件和学生数据的存储与访问控制。
- Install Mechanism
- concern没有 install spec(instruction-only),但包含 Python 脚本与 requirements.txt。问题:scripts/requirements.txt 列出 pillow、pytesseract、openpyxl,但 generate_pdf.py 需要 weasyprint(未列出),而 weasyprint 还依赖系统级库(cairo、Pango 等),SKILL.md 只说明需安装 tesseract-ocr。这是不完整/不一致的依赖声明,会导致运行时错误或要求额外手动安装系统库。
- Credentials
- okSkill 不请求任何环境变量、凭据或访问其他技能/系统配置;所需的外部依赖均与 OCR/生成报告目的直接相关,权限要求合理。
- Persistence & Privilege
- okflags 中没有 always:true,也不会修改其它技能或持久化平台配置;脚本仅读写传入的输入文件与本地输出文件,不具备提升平台权限的行为。