Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名称/描述与包含的 query.py 源码一致:脚本从技能目录下的 inventory.xlsx 和 inventory_date.txt 读取并生成库存/补货信息,技能没有请求与此目的不相干的权限或凭据。
Instruction Scope
SKILL.md 明确要求执行本地脚本并“将脚本输出原样发送给用户,禁止修改”。这是与目的一致的行为,但有隐私/泄露风险:脚本完全控制输出,代理被指示不得过滤或修改,可能导致电子表格中意外的敏感数据被直接返回。
Install Mechanism
技能为指令 + 本地 Python 脚本(无安装说明)。脚本导入 openpyxl,但没有声明依赖安装步骤 —— 运行时需要在环境中预装 openpyxl,否则会失败。没有从外部 URL 下载或执行不可信二进制,未见高风险安装行为。
Credentials
不要求任何环境变量、凭据或其他配置路径;脚本仅访问技能目录下的 inventory.xlsx 和 inventory_date.txt,与声明功能相符,没有多余的敏感权限请求。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能或系统配置。默认允许模型调用(平台默认),但技能本身未要求长期驻留或提升权限。
Assessment
该技能总体上与其描述一致,但在安装/使用前请注意:
- 检查 inventory.xlsx 和 inventory_date.txt 的内容与访问权限,确保电子表格中不包含你不想泄露的敏感数据(因为技能会把脚本输出原样返回)。
- 确认运行环境已安装 openpyxl,否则脚本会报错;如果需要,可在受控环境中先安装并测试。
- 如果担心自动化泄露,可只在需要时手动调用此技能或限制其自动触发;考虑修改脚本或包装层以在返回前做输出过滤/脱敏(当前 SKILL.md 明确禁止代理修改输出,需由部署者决定是否改变此策略)。
- 在生产环境启用前,先在沙箱环境中用样本表格测试脚本输出,确认没有意外的行/列被包含。Like a lobster shell, security has layers — review code before you run it.
latestvk9797cv4sze989mtwxye72frg5838q8e
License
MIT-0
Free to use, modify, and redistribute. No attribution required.