ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

resume-optimizers

v1.0.0

评估并优化简历内容,输出精美的 HTML 修改建议报告。当用户提到"修改简历"、"优化简历"、"简历评估"时使用。支持前端和后端岗位,Claude 以前端/后端架构师视角进行评估,让用户清楚知道哪些部分需要优化。

0· 51·0 current·0 all-time
bydream-boy@lifenglei
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名和描述(简历评估并生成 HTML 报告)与 SKILL.md 和代码中的行为一致:使用 pdfplumber 提取 PDF,调用 Anthropic/Claude API 进行评估,然后把 JSON 结果渲染为 HTML 报告。因此核心能力与目的对齐。但元数据声称“无需环境变量/凭证/二进制”,与代码实际需求不一致(见环境维度)。
Instruction Scope
SKILL.md 的运行说明与技能目的相符:要求用户上传 PDF、选择前端/后端,按步骤提取文本、调用 Claude(Anthropic)评估并生成可在浏览器打开的 HTML 报告。说明中没有要求检查或读取与简历无关的系统文件,也没有指示将数据发送到非 Anthropic 的第三方 URL。
Install Mechanism
技能声明为“无安装规范 / 指令式”,但仓库包含代码和 scripts/requirements.txt(列出 pdfplumber、fpdf2、anthropic)。没有提供安装步骤或平台 install spec(brew/npm/下载等),这会让部署和依赖安装不明确——需要手动安装 requirements.txt。不是直接恶意,但元数据与包清单不一致,应在安装前确认依赖与安装方式。
!
Credentials
代码期望使用环境变量 ANTHROPIC_AUTH_TOKEN(并在运行时在缺失时退出),还使用可调整的 ANTHROPIC_MODEL;但技能元数据声明“无需环境变量/凭证”。这是不一致且重要的:使用该技能会把简历文本发送到 Anthropic 的 API,意味着可能向外部服务传输敏感个人信息(姓名、联系方式、项目细节等)。此外 requirements.txt 引入 anthropic 包,进一步证明需要外部 API。用户应明确知晓并同意将简历数据发送到 Anthropic,并确保提供的 API key 的权限与用途相匹配。
Persistence & Privilege
技能没有设置 always:true,也没有声明会修改其他技能或全局代理配置。代码不表现出长期驻留或修改其他技能配置的行为。
What to consider before installing
这个技能确实实现了‘读取 PDF、用 Claude/Anthropic 评估、生成 HTML 报告’的功能,但元数据没有声明它实际需要的外部 API 凭证和依赖。安装或使用前请注意: - 必须提供 ANTHROPIC_AUTH_TOKEN 环境变量,否则脚本会退出;技能会把简历文本发送到 Anthropic(外部服务),如果简历包含个人敏感信息(姓名、电话、邮箱、项目细节),请确认你同意将这些数据外发并信任该服务。 - 源代码包含 scripts/requirements.txt(pdfplumber、fpdf2、anthropic),但没有安装说明:在受信任或隔离的环境中手动安装并检查依赖版本。 - 若你不能或不想把简历发送到外部 API:考虑修改脚本以使用本地模型或本地处理,或在脱机环境中运行提取/模板生成部分。 - 建议在安装前审阅并测试脚本(在沙箱或已隔离的机器上),确认网络调用的目标和数据被如何发送与记录(例如,检查 anthropic 客户端的请求日志),并确保 API Key 权限最小化。 总体而言:功能与描述一致,但缺失的重要元数据(需要 Anthropic API key 和 Python 依赖)使得风险/隐私影响被低估——在确认外发数据和凭证后方可使用。

Like a lobster shell, security has layers — review code before you run it.

latestvk9773axzafzwnamqgmqcv3p4es84bzda

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments