crs-report-generator
ReviewAudited by ClawScan on May 10, 2026.
Overview
该技能用途基本一致且未显示联网外传,但它处理敏感金融PDF,并且“自动脱敏”的说明与代码会写入姓名、账号等信息不一致,需要用户仔细审查。
安装或使用前,请确认你愿意让该技能读取银行/券商PDF并生成包含敏感账户信息的Excel。不要依赖其“自动脱敏”描述;在分享或提交前手动检查并删除不需要的姓名、账号、TIN、余额和交易信息。
Findings (3)
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
用户可能以为生成结果已经脱敏,从而不小心分享或提交包含姓名、账号等敏感金融信息的Excel文件。
The documentation promises automatic removal of sensitive information, while the code writes extracted customer name and account number fields into the generated spreadsheet.
SKILL.md: “信息脱敏 - 自动去除敏感信息,只保留模板”; scripts/crs_generator.py: “(\"客户姓名\", \"client_name\"), (\"账户号码\", \"account_number\")” and “style_cell(ws[f'B{row}'], info.get(key, \"[待补充]\"))”在使用前把生成的Excel当作敏感文件处理;发布方应删除或澄清“自动脱敏”说法,或实现明确、可验证、用户可控制的脱敏模式。
生成的Excel可能包含个人身份、账户和资产交易信息,泄露后可能造成隐私或财务风险。
The skill purposefully extracts and persists sensitive financial account information into an output spreadsheet.
“客户姓名”, “账户号码”, “账户余额/价值”, “交易记录” are extracted/generated, and “wb.save(output_path)” saves the Excel file.
只处理确实需要的PDF,确认输出路径,妥善加密/保存生成文件,并在不再需要时删除。
如果用户手动安装依赖,安装来源或版本选择会影响安全性和可复现性。
The script depends on third-party Python packages, but the artifacts provide no pinned install specification or lockfile.
“import pdfplumber” and “from openpyxl import Workbook”; “请安装: pip install openpyxl”
从官方/可信包源安装依赖,优先使用固定版本和隔离的Python环境。