Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
OpenClaw
Benign
high confidencePurpose & Capability
技能名/描述为“通用机打发票 OCR”,SKILL.md、skill.yaml 和脚本都实现并调用了 Sugon-Scnet OCR 接口(POST https://api.scnet.cn/api/llm/v1/ocr/recognize),所需的 SCNET_API_KEY 与功能相符。唯一的小不一致是上方注册表元数据(Registry metadata)中列示“Required env vars: none”,但包内 SKILL.md/skill.yaml 明确声明了 SCNET_API_KEY 为必需。
Instruction Scope
运行时指令和脚本只做三件事:读取 config/.env 或环境变量获取 SCNET_API_KEY、读取本地待识别文件并通过 multipart/form-data 上传至 scnet API、输出处理后的 JSON 结果。重要注意点:执行会把发票图片和其内容发到外部服务(api.scnet.cn),因此会将发票中的敏感信息(纳税人识别号、银行账号等 PII)传输到第三方。
Install Mechanism
无安装脚本或下载机制(instruction-only + 附带 Python 脚本)。需要 Python3 和 requests 库,未从不可信 URL 下载或执行任意二进制,风险较低。
Credentials
仅要求 SCNET_API_KEY(primary credential)和可选的 SCNET_API_BASE,数量与功能复杂度成比例。需注意注册表元数据与 SKILL.md 不一致(注册表显示不需要 env),建议在安装前确认平台显示的需求与包内声明一致。
Persistence & Privilege
没有设置 always: true;技能默认可被代理模型调用(平台默认且合理)。技能不修改其他技能或系统配置,也不要求长期常驻权限。
Assessment
在安装/启用前请考虑:
- 你将把发票图片和所有识别内容上传到第三方服务(api.scnet.cn)。发票通常包含高度敏感的个人/公司信息(税号、银行账号等);仅在你信任 Scnet 服务并有权传输这些数据时才使用。
- 请使用环境变量而非在聊天中粘贴 API Key;按 README/SKILL.md 建议把 config/.env 权限设为 600。
- 核实 registry 中显示的需求与包内 SKILL.md/skill.yaml 是否一致(注册表元数据目前标记为不需要 env,但文件里声明了 SCNET_API_KEY)。
- 如果你需要更严格的数据控制,考虑在隔离环境中运行或向服务方确认数据保留/隐私政策。
- 如需更高置信度评估,可提供: (1) 仓库来源/主页的可验证 URL,(2) 服务方隐私/保留策略链接,或 (3) 网络流量样本以确认目标域名和参数。Like a lobster shell, security has layers — review code before you run it.
latestvk97820grq7gn0w21gg0abhf0nh84ydym
License
MIT-0
Free to use, modify, and redistribute. No attribution required.