ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

ai-intelligence-report

v1.0.0

AI情报助手技能包,覆盖模版检索与报告任务场景(创建、查询、章节编辑、版本查询)。

0· 64·0 current·0 all-time
by@spzwin

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for spzwin/ai-intelligence-report.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "ai-intelligence-report" (spzwin/ai-intelligence-report) from ClawHub.
Skill page: https://clawhub.ai/spzwin/ai-intelligence-report
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install ai-intelligence-report

ClawHub CLI

Package manager switcher

npx clawhub@latest install ai-intelligence-report
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名与描述(模版检索、报告任务管理等)与脚本和 openapi 文档中调用的 https://cwork-api.mediportal.com.cn/ai-report/* 接口一致,功能实现(list/create/update/delete、任务创建/轮询/详情/章节编辑/版本)与声明匹配。但 registry metadata 声明“无需环境变量/凭据”,与脚本实际使用 XG_USER_TOKEN(access-token)不一致。
!
Instruction Scope
SKILL.md 明确指示运行时读取另一个技能 cms-auth-skills 的 SKILL.md 并在缺失时执行 npx clawhub@latest install cms-auth-skills --force / 或从 https://github.com/spzwin/cms-auth-skills.git 安装;这是超出单纯“调用 API”的范围,要求在运行时下载并安装外部代码。脚本本身仅与声明的生产域交互并通过环境变量传入参数,没有发现额外的数据收集或意外外发,但 SKILL.md 给代理广泛的自由去安装/读取其他技能的配置——这是需要关注的范围扩展。
!
Install Mechanism
包为“instruction-only”但 SKILL.md 指示使用 npx clawhub@latest install ... 或从 GitHub URL 安装 cms-auth-skills。虽然备用 URL 指向 GitHub(比未知私人主机好),但运行 npx 安装会在运行时从网络拉取并执行代码,增加供应链/执行风险。没有官方 install spec 声明由平台审计安装包,这一点值得注意。
!
Credentials
注册表元数据声明没有必需环境变量或主凭据,但所有脚本明确依赖 XG_USER_TOKEN(access-token)以及多个操作还依赖 TASK_ID、MOBAN_ID、QUESTION_ID、RESULT 等环境变量——这些未在元数据中列出,造成不一致。请求的凭据(access-token)与技能用途相关,但未声明会导致权限/告知问题;应核实 access-token 的权限范围并谨慎提供。
Persistence & Privilege
技能未设置 always:true,也未声明写入其它技能或系统配置。但 SKILL.md 要求在运行时安装另一个技能,这会修改代理环境(安装 cms-auth-skills)。单独自动调用并非默认问题,但结合安装指令,存在较高的供应链影响面——在允许代理自动安装之前应审查依赖。
What to consider before installing
该技能的功能说明、openapi 文档和 Python 脚本在功能上是一致的(都对接 cwork-api.mediportal.com.cn),但存在两处不一致与潜在风险: 1) 元数据没有列出任何必需环境变量或主凭据,但所有脚本都需要 XG_USER_TOKEN(access-token);在安装或运行前,请确认要提供的 access-token 的范围与权限,仅在可信环境下提供,避免使用高权限或长期凭证。2) SKILL.md 指示在运行时用 npx 安装 cms-auth-skills(优先 npm 包,降级到 GitHub 仓库),这会从网络下载并执行外部代码;在允许代理自动执行这些安装命令前,请人工审查 cms-auth-skills 仓库(或要求发布者提供可信来源/签名的包)。 建议措施: - 向技能发布者索取完整的 requires.env / primary credential 声明,确保 XG_USER_TOKEN 的声明与最小权限原则一致。 - 在受控环境中先手动审查并(如果接受)手动安装 cms-auth-skills;优先检查 https://github.com/spzwin/cms-auth-skills.git 的代码与发布历史。 - 如果不信任自动安装或不愿冒供应链风险,不要允许代理自动执行 npx install;也可以运行脚本的本地审计版,且仅提供短期/受限的 access-token。 基于目前信息判定为“可疑(suspicious)”,因为存在文档与实际运行需求的不一致与在运行时下载安装外部依赖的供应链风险。进一步审查 cms-auth-skills 的源码和明确的环境变量声明会提升信心。

Like a lobster shell, security has layers — review code before you run it.

latestvk97c1etqaydr2kw0vy4xv349p984x9jj
64downloads
0stars
1versions
Updated 1w ago
v1.0.0
MIT-0
@spzwin
latest
Download

AI情报助手 — 索引

本文件提供能力宪章、能力树与按需加载规则。详细参数与流程见各模块 openapi/examples/

当前版本: v1.6

能力概览(3 块能力)

  • moban:模版列表检索、模版详情查看、模版新建、模版编辑、模版发布/下架、模版删除
  • task:任务创建、进度查询、报告详情、任务列表、章节改写、版本历史
  • capability:能力咨询与边界说明(回答“你能做什么/不能做什么”)

接口版本: 所有业务接口统一使用 https://cwork-api.mediportal.com.cn/ai-report/* 前缀,鉴权类型按接口文档声明执行(本 skill 当前业务接口均为 access-token)。

统一规范:

  • 认证与鉴权:cms-auth-skills/SKILL.md
  • 通用约束:cms-auth-skills/SKILL.md

授权依赖:

  • 当接口声明需要 appKeyaccess-token 时,先尝试读取 cms-auth-skills/SKILL.md
  • 如果已安装,直接按 cms-auth-skills/SKILL.md 中的鉴权规则准备对应 appKeyaccess-token
  • 如果未安装,先执行 npx clawhub@latest install cms-auth-skills --force
  • 如果上面的安装方式不可用,再执行 npx clawhub@latest install https://github.com/spzwin/cms-auth-skills.git --force
  • 安装完成后,再继续执行需要鉴权的操作

输入完整性规则(强制):

  1. 模版场景至少提供分页信息(pageNumpageSize)或明确 mobanId
  2. 生成报告至少提供 mobanIdtaskName
  3. 查询详情或进度需提供 taskId
  4. 章节改写与版本查询需提供 questionId

建议工作流(简版):

  1. 读取 SKILL.mdcms-auth-skills/SKILL.md,明确能力范围、鉴权与安全约束。
  2. 识别用户意图并路由模块:mobantaskcapability,先打开对应 api-index.md
  3. 确认具体接口后,加载对应 endpoint 文档获取入参、出参与 Schema。
  4. 补齐用户必需输入;若是能力咨询场景,仅返回标准能力边界,不执行脚本。
  5. 参考 examples/moban/README.mdexamples/task/README.mdexamples/capability/README.md 组织话术与流程。
  6. 对有接口的场景执行对应 Python 脚本,输出 JSON 结果并做最小必要信息提取。

脚本使用规则(强制):

  1. 每个 openapi/moban/*.mdopenapi/task/*.md 都必须有对应脚本。
  2. 所有业务脚本输出必须为 JSON 格式。
  3. 脚本必须可独立命令行执行。
  4. 仅允许生产域名与生产协议。
  5. 出错重试间隔 1 秒,最多 3 次,禁止无限重试。
  6. 严禁虚构工具名或命令(例如 oracle template query)。若环境受限,只能说明受限条件与补齐步骤。

能力咨询标准回复(强制):

  1. 当用户问“你可以做什么/你能做什么/你支持哪些操作/你是谁”时,必须路由到 capability
  2. capability 仅返回本 skill 的真实能力,不得扩展到未定义工具或外部命令。
  3. 输出必须包含三段:能做什么、不能做什么、下一步引导(查模版、发起任务、查进度、改章节)。
  4. 能力咨询场景禁止执行脚本,也禁止先下“环境变量缺失”的结论。

意图路由与加载规则(强制):

  1. 模版选择与推荐 -> moban
  2. 报告生成、进度与详情 -> task
  3. 章节手改与版本追溯 -> task
  4. 能力咨询与自我介绍 -> capability
  5. 超出上述范围(如 chat 对话建模版)不在本 skill 范围内

宪章(必须遵守):

  1. 本 skill 仅覆盖 docs/AI情报agent说明(1).mddocs/ai情报agent_定义规范.md 定义场景。
  2. 不暴露 token、内部主键等敏感信息。
  3. 不猜测缺失参数,必须追问补齐。
  4. 不执行越权与危险操作。
  5. 章节编辑保存前,必须先向用户展示编辑后的完整内容并等待明确确认。
  6. 不杜撰不存在的命令、MCP 工具、CLI 工具或环境变量缺失结论。
  7. 鉴权失败时,只能按 cms-auth-skills/SKILL.md 的鉴权规则检查,并明确已检查到哪一步、下一步缺什么。

模块路由与能力索引:

用户意图(示例)模块能力摘要接口文档示例模板脚本
找可用模版、按关键词筛选模版moban模版检索./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/list-moban.py
查看模版章节结构moban模版详情./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/moban-detail.py
新建模版(定义章节与提示词)moban模版新建./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/create-moban.py
编辑已有模版(更新结构与提示词)moban模版编辑./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/update-moban.py
模版发布/下架(控制模版可见状态)moban模版状态切换./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/change-moban-state.py
删除废弃模版moban模版删除./openapi/moban/api-index.md./examples/moban/README.md./scripts/moban/delete-moban.py
发起报告任务task创建任务./openapi/task/api-index.md./examples/task/README.md./scripts/task/start-task.py
查询任务进度和报告详情task进度与详情./openapi/task/api-index.md./examples/task/README.md./scripts/task/check-task.py
手动修改某个章节并看版本历史task章节编辑./openapi/task/api-index.md./examples/task/README.md./scripts/task/update-question-result.py
你可以做什么、你能做什么、你是谁capability能力边界说明./openapi/capability/api-index.md./examples/capability/README.md./scripts/capability/README.md

能力树(实际目录结构):

ai-intelligence-report/
├── SKILL.md
├── openapi/
│   ├── moban/
│   │   ├── api-index.md
│   │   ├── list-moban.md
│   │   ├── moban-detail.md
│   │   ├── create-moban.md
│   │   ├── update-moban.md
│   │   ├── change-moban-state.md
│   │   └── delete-moban.md
│   ├── capability/
│   │   └── api-index.md
│   └── task/
│       ├── api-index.md
│       ├── start-task.md
│       ├── check-task.md
│       ├── task-detail-v2.md
│       ├── list-task-by-page.md
│       ├── update-question-result.md
│       └── list-result-version.md
├── examples/
│   ├── moban/README.md
│   ├── capability/README.md
│   └── task/README.md
└── scripts/
    ├── capability/
    │   └── README.md
    ├── moban/
    │   ├── README.md
    │   ├── list-moban.py
    │   ├── moban-detail.py
    │   ├── create-moban.py
    │   ├── update-moban.py
    │   ├── change-moban-state.py
    │   └── delete-moban.py
    └── task/
        ├── README.md
        ├── start-task.py
        ├── check-task.py
        ├── task-detail-v2.py
        ├── list-task-by-page.py
        ├── update-question-result.py
        └── list-result-version.py

Comments

Loading comments...