Back to skill
Skillv1.0.0
ClawScan security
Excel数据求和工具 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 12, 2026, 12:17 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 此技能的说明、运行指令与包含的脚本一致——它仅在本地使用 Python + openpyxl 读取指定 Excel 文件的第一列并求和,没有看到与声明功能不符的权限请求或可疑外联行为。
- Guidance
- 这个技能会要求你提供本地 Excel 文件的完整路径并在本地运行一个 Python 脚本(使用 openpyxl)来计算第一列的总和: - 如果你信任运行此技能的环境(代理/主机),它看起来安全且与描述一致。 - 确保系统上安装 Python 和 openpyxl(pip install openpyxl)。 - 注意不要指向包含敏感内容或系统文件的路径;脚本会尝试打开你提供的任何路径。 - 如果有合规或隔离要求,可先在受限环境/沙箱中运行或手动审阅 scripts/sum_first_column.py 源码(文件很短且易于理解)。
Review Dimensions
- Purpose & Capability
- ok技能名、描述、SKILL.md、skill.json 的输入/输出 与 scripts/sum_first_column.py 的行为一致。所需依赖(Python、openpyxl)与处理 Excel 文件的目的相符。
- Instruction Scope
- ok运行步骤限定为:向用户询问文件路径、在本地执行脚本、返回总和/计数/跳过数。没有指示读取额外系统配置、环境变量或将数据发送到外部端点。唯一的文件访问是用户指定的本地文件路径,符合该功能需要。
- Install Mechanism
- ok无安装规范(instruction-only),不会从不受信任的 URL 下载或在安装时写入磁盘。skill.json 列出 openpyxl 要求,但仅作为运行时依赖提示;这与脚本用途匹配。
- Credentials
- ok未请求任何环境变量、凭据或配置路径。脚本只访问用户提供的本地文件路径,没有不相称的权限或多余的凭据要求。
- Persistence & Privilege
- ok默认权限(always: false),可由用户调用且允许模型自主调用(平台默认)。技能不请求修改其它技能或系统范围配置,也不要求长期驻留。