ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

设计框架套件 - 生图交付

v2.0.0

设计框架自动生成套件(生图交付):用户确认后自动生成概念图并私发给 Bot 主人

0· 71·0 current·0 all-time
by@807209066

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for 807209066/design-framework-generate.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "设计框架套件 - 生图交付" (807209066/design-framework-generate) from ClawHub.
Skill page: https://clawhub.ai/807209066/design-framework-generate
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install design-framework-generate

ClawHub CLI

Package manager switcher

npx clawhub@latest install design-framework-generate
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
!
Purpose & Capability
名称与描述说明在用户确认后生成概念图并私发给 Bot 主人,这与 SKILL.md 中的行为描述一致。但是 SKILL.md 依赖于外部脚本(design-framework-sender/ 下的多个 .sh 和 config.py)以及 OpenRouter/模型访问,这些脚本和任何所需凭据并未包含或在元数据中声明,导致实现上不完整且不透明。
!
Instruction Scope
指令要求检测 /tmp/design-framework-confirmed、删除该标记、解析文本、调用 generate_image.sh(使用 OpenRouter/seedream 模型)、私发文本/图片给 Bot 主人并写入 last-task.txt、清理临时文件。读取/写入临时文件和私发行为本身可解释为正常工作流,但 SKILL.md 给出的脚本是未提供的黑箱,且私发给“Bot 主人”会将用户内容传给外部接收方——SKILL.md 未声明如何获得或保护这些发送通道的凭据或接收者同意。
Install Mechanism
这是 instruction-only 技能,没有安装规范或代码文件写入磁盘(降低了直接供应链风险)。但技能依赖未打包的本地脚本/模块(design-framework-sender/),这在包内缺失:说明和实际可运行性不一致,用户无法验证这些脚本的行为。
!
Credentials
SKILL.md 明确会调用 OpenRouter API 和向 Bot 主人私发消息,这通常需要 API 密钥或机器人令牌,但注册表元数据声明“无需环境变量/凭据”。缺失的凭据声明和未包含的 config.py 表明请求的外部访问未被声明或审查,比例不当且不透明。
Persistence & Privilege
技能没有设置 always:true,也不声明修改其它技能或系统范围配置。它会在本地读写短期文件(/tmp 标记、last-task.txt)并清理临时文件,这是一个有限的本地副作用,符合其自动触发工作流。
What to consider before installing
这个技能声称在用户确认后生成并私发概念图,流程本身合理,但包里没有任何实际脚本或任何说明要如何提供所需的 API 密钥/机器人令牌。不要安装或启用前,请确认:1) 提供或查看 design-framework-sender 目录下的脚本和 config.py 的完整源代码,确保它们没有向未知服务器上传数据;2) 明确需要哪些 API 密钥(OpenRouter、消息发送服务等),以及这些凭据会如何被存储/使用;3) 是否同意“私发给 Bot 主人”的行为和接收者;4) 若可能,在隔离环境中先运行并审计这些脚本。若无法获得脚本源码和凭据说明,则应将此技能视为不安全并避免启用。

Like a lobster shell, security has layers — review code before you run it.

design-framework-suitevk978k769jz6qbbnm5cfjs58y2185bvz1latestvk978k769jz6qbbnm5cfjs58y2185bvz1
71downloads
0stars
1versions
Updated 5d ago
v2.0.0
MIT-0
@807209066
design-framework-suitelatest
Download

设计框架套件 - 生图与交付

「设计框架自动生成套件」的第四个 skill,负责在用户确认后执行生图、私发框架文本和概念图、发送完成通知。

触发条件

/tmp/design-framework-confirmed 文件存在(由 design-framework-confirm skill 写入)。

执行流程

  1. 删除 confirmed 标记:防止重复触发
  2. 提取宽高比:从设计框架中解析输出规范
  3. 生成概念图:调用 generate_image.sh,使用 bytedance-seed/seedream-4.5 模型
  4. 私发框架文本:通过 send.sh 发送给 Bot 主人
  5. 私发概念图:通过 send_image_only.sh 发送给 Bot 主人
  6. 群内完成通知:发送「已接受,明确需求 ✅」
  7. 去重记录 + 清理:写入 last-task.txt,清理所有临时文件,释放锁

依赖脚本

所有脚本均位于 design-framework-sender/ 目录:

  • generate_image.sh:调用 OpenRouter API 生成图片
  • extract_ratio.sh:从框架文本提取宽高比
  • send.sh:私发文本消息
  • send_image_only.sh:私发图片
  • config.py:统一配置读取

异常处理

  • 私发框架失败 → 群内提示失败,清理并退出
  • 生图失败 → 群内提示"概念图生成失败",清理并退出

安装说明

请参考 design-framework-sender skill 的安装文档。

Comments

Loading comments...