cms-find-skills

v1.6.0

用于"安装 Skill / 下载 Skill / 找一个能做 X 的 Skill / 把某个 Skill 装到本地 / 列出平台 Skill"。从 CMS 平台搜索已有 Skill 并按 downloadUrl 下载 ZIP 解压到本地 ~/.claude/skills。仅负责查找与安装，不负责创建或发布

⭐ 0· 222·1 current·1 all-time

by@spzwin

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for spzwin/cms-find-skills.

Previewing Install & Setup.

Prompt PreviewInstall & Setup

Install the skill "cms-find-skills" (spzwin/cms-find-skills) from ClawHub.
Skill page: https://clawhub.ai/spzwin/cms-find-skills
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install cms-find-skills

ClawHub CLI

Package manager switcher

npx clawhub@latest install cms-find-skills

Security Scan

VirusTotal

Suspicious

View report →

OpenClaw

Suspicious

medium confidence

✓

Purpose & Capability

Name/description match the code: scripts list skills from a platform, obtain downloadUrl, download ZIP, safely extract into a local skills directory, and verify SKILL.md. 所有主要功能在脚本中都有实现，未请求额外凭据或不成比例的系统访问。

ℹ

Instruction Scope

SKILL.md 明确限定只做发现与本地安装，脚本也只执行 API 请求 + 下载 + 解压 + 轻量校验。文档提到可通过环境变量 CMS_API_BASE 覆盖 API 基址，但实际 get_skills.py 并未读取该环境变量（API_URL 在模块导入时以常量构造），这是文档/实现不一致，应修正以避免误导。

Install Mechanism

虽然项目没有 install spec（即不在安装时从远端执行任意代码），但运行时会从 downloadUrl 下载并展开 ZIP。脚本实现了路径穿越保护和结构校验（_normalize_zip_member/_safe_extract/verify_skill），这是良好实践。但所有 requests 调用都以 verify=False 禁用 TLS 验证，且屏蔽了 InsecureRequestWarning —— 这增加了中间人攻击（MITM）与被替换下载内容的风险。

✓

Credentials

无需任何凭据或特殊环境变量。唯一提及的 CMS_API_BASE 在文档中出现但未被代码使用（不需要凭证），总体上没有索取不相关/过多的秘密。

✓

Persistence & Privilege

flags: always=false，默认可被用户调用且允许模型自主调用（平台默认）。脚本不修改其他技能配置或全局代理设置，只将解压文件写入目标目录（默认为查找到的 skills 目录或当前工作目录），权限要求与用途相称。

What to consider before installing

这是一个用于从平台列出并下载 Skill ZIP 的本地安装工具，功能与描述基本一致 but 注意三点： 1) TLS 验证被禁用：脚本在所有 HTTP 请求中使用 verify=False 并屏蔽相关警告，这会使下载过程易受中间人攻击。如果你要在不受信网络或生产环境使用，应修复代码以启用 TLS 验证（删除 verify=False）并只对受信任的域进行请求。 2) 文档与实现不完全一致：README/文档提到可通过 CMS_API_BASE 环境变量覆盖 API 基址，但 get_skills.py 在模块加载时使用了硬编码的 DEFAULT_API_BASE/API_URL 并未读取该环境变量。若你需要自定义 API_BASE，请在代码中修复以读取环境变量或谨慎修改 API_URL 变量。 3) 下载来源的信任：脚本会下载并在本地展开任意由 downloadUrl 指定的 ZIP 包（尽管实现了路径穿越防护和 SKILL.md 校验）。仅从你信任的 Skill 注册中心或可信 downloadUrl 安装；安装后手动审查解压出的 SKILL.md 和脚本（特别是任何可执行代码）以确认其安全性。如果你计划使用此 Skill：在受控环境中测试，启用 TLS 验证，修正文档/代码中 CMS_API_BASE 的不一致，必要时增加对 downloadUrl 域的白名单或数字签名校验流程。

Like a lobster shell, security has layers — review code before you run it.

latestvk97cxvttw1t1kcd2thv73swwkn84ecbz

222downloads

0stars

11versions

Updated 2w ago

v1.6.0

MIT-0

当前版本: v1.6.0

cms-find-skills

只做两件事：

调用 get-skills 查看平台上已有的 Skill。
根据 downloadUrl 下载 ZIP 并解压到本地。

不要登录，不要授权，不要扩展上传、发布、更新、下架能力。

当前目录

SKILL.md
references/skill-registry/README.md
scripts/skill_registry/get_skills.py
scripts/skill_registry/install_skill.py

所有说明文档统一使用 Markdown；本 Skill 不再维护旧接口文档目录。

路由

查看列表：python3 cms-find-skills/scripts/skill_registry/get_skills.py
搜索：python3 cms-find-skills/scripts/skill_registry/get_skills.py --search "关键词"
查看详情：python3 cms-find-skills/scripts/skill_registry/get_skills.py --detail "code 或 name"
取下载地址：python3 cms-find-skills/scripts/skill_registry/get_skills.py --url "code 或 name"
安装到本地：python3 cms-find-skills/scripts/skill_registry/install_skill.py --code "code"
已知下载地址时安装：python3 cms-find-skills/scripts/skill_registry/install_skill.py --url "https://..."

规则

统一以 get-skills 返回的数据为准。
安装方式固定为：下载 ZIP -> 解压到目标目录。
默认安装到脚本所在 workspace 的 skills/ 目录，可用 --target 覆盖。
本地已存在同名 Skill 时默认跳过，加 --force 可删除旧目录并重新安装。
只维护 Markdown 说明和 Python 脚本，不维护旧接口文档副本。

Comments

Loading comments...