robot-paper-post

总体来说这个 skill 看起来做的正是它声称的事——从 arXiv/项目页提取图与元信息并生成带图的技术推文。但在安装或运行前请注意： - 缺失脚本与元数据不一致：SKILL.md/README 多次引用 scripts/extract_arxiv_figures.ps1，但在提供的文件清单中未见该脚本；在安装或运行前确认脚本来源并在本地审查其内容，切勿在不明来源下直接执行下载的脚本。 - 网络访问与版权：skill 会抓取 arXiv、GitHub、项目页和视频并可能 hotlink 或下载图片。确认你有权重用/发布这些图片（尤其用于公众号或商业分发时），并注意遵守作者/期刊的许可要求。 - 可选的浏览器自动化：文档把浏览器截图作为可选增强，这是合理的，但若启用该路径会需要额外依赖（Playwright/Chromium 等）。不要在未审核环境中自动安装或运行这些工具。 - 检查 homepage / upstream：clawhub.json 指向一个 GitHub 仓库 URL，但元数据顶部标注 source/homepage 为 unknown/none。若打算长期使用或信任该 skill，访问该 GitHub 仓库确认维护者与脚本实现更稳妥。 - 最小权限原则：为安全起见，在沙箱或受控环境中先运行一次完整流程，验证网络请求与文件写入位置，再在生产环境中使用。 如果你希望我更深入地检查：可以提供该仓库的 homepage URL 或把 scripts/extract_arxiv_figures.ps1 的内容贴上来，我能帮你审查脚本是否存在不合理的网络/文件操作。