v1.0.0

保险费率二维表生成工具

ReviewClawScan verdict for this skill. Analyzed May 1, 2026, 8:30 AM.

Analysis

该技能的用途基本合理，但生成文件名直接使用用户输入，可能把 Excel 写到预期工作区之外。

Guidance安装或使用前，应修复/确认输出文件名清理逻辑，避免产品名称包含 '/', '\\' 或 '..' 等路径字符；同时从可信来源安装 xlsx 依赖。

Findings (2)

Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.

Abnormal behavior control

Checks for instructions or behavior that redirect the agent, misuse tools, execute unexpected code, cascade across systems, exploit user trust, or continue outside the intended task.

Tool Misuse and Exploitation

SeverityMediumConfidenceHighStatusConcern

scripts/generate-rate-table.js

const productName = args[0] || '费率表'; ... const fileName = `${productName}费率表.xlsx`; const filePath = path.join(process.cwd(), fileName); XLSX.writeFile(wb, filePath);

第一个命令行参数直接进入输出文件名，再与当前目录拼接；没有拒绝 '../' 或路径分隔符，因此特制产品名称可能让文件写到预期 workspace 之外。

User impact如果产品名称包含路径片段，可能在用户没有预期的位置创建或覆盖一个 .xlsx 文件。

Recommendation将产品名称清理为安全 basename，拒绝路径分隔符和 '..'，规范化后校验输出路径必须位于 workspace 内，并在覆盖已有文件前询问用户。

Agentic Supply Chain Vulnerabilities

SeverityLowConfidenceHighStatusNote

package.json

"dependencies": { "xlsx": "^0.18.5" }

该技能依赖 npm 的 xlsx 包来生成 Excel；这与用途一致，且提供了 package-lock.json，但仍意味着用户会运行本地 Node 代码和第三方依赖。

User impact安装和运行时会依赖本地 Node/npm 环境及第三方包。

Recommendation从可信 npm 源安装，优先使用随附 lockfile 固定依赖，并在元数据中明确声明 Node.js/xlsx 需求。