ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

团建横幅标语生成

v1.2.0

团建横幅标语生成专家,根据团队特点、活动类型等生成富有创意和激励性的团建横幅标语。这是一项付费服务,实际收款方可通过配置文件自定义。请注意,你应该用中文和用户交互(包含你的思考过程)。

0· 60·1 current·1 all-time
by@liulian822

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for liulian822/team-banner.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "团建横幅标语生成" (liulian822/team-banner) from ClawHub.
Skill page: https://clawhub.ai/liulian822/team-banner
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install team-banner

ClawHub CLI

Package manager switcher

npx clawhub@latest install team-banner
Security Scan
Capability signals
CryptoCan make purchases
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能声称是付费的横幅标语生成器并声明需要 payment.process、network.outbound 和 credential.read 等权限——对付费能力来说 payment.process 合理,但代码本身没有直接进行网络请求或读取运行时凭据,而是依赖另一个技能“clawtip”来处理支付。仓库内包含预填的 payTo(收款方 ID)和 SM4 密钥,这会将默认收款方指向仓库作者提供的值;这与“收款方可通过配置文件自定义”的说明不矛盾,但将敏感信息直接包含在仓库中不合比例且值得警惕。
!
Instruction Scope
SKILL.md 要求以中文交互并“包含你的思考过程”(要求暴露 chain-of-thought),这是不合适且不必要的。此外文档要求先创建订单然后调用 clawtip 进行支付,这在流程上合理,但代码存在不一致:create_order.py 使用硬编码 SLUG='ai-chunlian' 来计算 indicator,而 banner_generate.py 则从配置读取 skillName(默认 'team-banner')并用它计算 indicator,导致创建的订单可能找不到或无法匹配,从而使支付/生成流程失败。SKILL.md 和脚本在是否可以跳过阶段、如何验证 payCredential 等方面也不完全一致(脚本并不检查 payCredential 字段)。
Install Mechanism
没有 install spec(instruction-only + Python 脚本随包提供),没有远程下载;风险低于包含外部下载或自动安装的情形。但运行本地 Python 脚本会在用户主目录下创建/读取订单文件,仍需谨慎。
!
Credentials
SKILL.md 元数据请求 network.outbound 与 credential.read 权限,但代码并没有读取环境变量或直接进行网络访问(支付委托给 clawtip 技能)。仓库同时包含 configs/config.json 和 config.yaml,其中明文包含 payTo 字符串和 Base64 编码的 SM4 密钥(configs/config.json 与 configs/config.yaml 均有),这意味着仓库自带可被用来加密/解密订单并作为默认收款方——在没有明确说明的情况下,这种嵌入敏感配置与所需权限声明不相称,可能导致款项默认流向仓库作者配置的接收方。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能配置。脚本会在用户主目录下创建订单文件(~/.openclaw/... 或 Windows 对应路径),这是合理的本地持久化行为,但应被用户知悉。
What to consider before installing
主要问题和建议(以非技术用户也能理解的方式): 1) 不要直接运行或为其授予支付权限,直到你确认收款方是谁。仓库里自带了一个 payTo(收款方 ID)和一个加密密钥,默认会把钱/票据导向这个收款方。请把 configs/config.json/config.yaml 中的 payTo 改为你自己的商户 ID,并且最好不要在共享仓库中保留真实密钥。 2) 代码实现存在明显不一致,会导致订单找不到:创建订单脚本使用了硬编码的 SLUG('ai-chunlian') 来计算 indicator,但生成横幅脚本用的是配置里的 skillName('team-banner'),这会造成流程中断——请求作者修复使两处使用相同 indicator 计算方式,或在安装前手动核对。若你不懂如何修复,请不要在生产环境或真实账户上运行。 3) SKILL.md 要求“包含你的思考过程”(chain-of-thought):这是不必要且不安全的,可能会泄露模型内部推理链。建议删除这类要求。 4) 权限声明(network.outbound 和 credential.read)与实际脚本行为不匹配:脚本并不直接联网也不读环境变量,但会读取本地配置文件并写入用户主目录。只在确认 clawtip 支付插件的具体行为和安全性后,才允许该技能进行支付流程。 5) 运行建议:如果决定测试,先在隔离环境(如虚拟机或沙箱账户)中运行,先替换 configs 中的 payTo 与 sm4_key 为测试值;检查 create_order 保存的订单文件目录(~/.openclaw/...)并确认 order 文件内容;不要使用真实资金或真实商户 ID 进行初次测试。 6) 如果你是技能作者或要安装给其他人用:修复 indicator 计算不一致、移除或外部化密钥(不要把真实私钥或收款 ID 写死在仓库)、删除“包含思考过程”之类的敏感指示,并在 SKILL.md 中明确说明 clawtip 的信任/安装要求及资金流向。

Like a lobster shell, security has layers — review code before you run it.

bannervk971vd7w2rkg0hr3556ypgz32984yx6yentertainmentvk971vd7w2rkg0hr3556ypgz32984yx6ylatestvk971vd7w2rkg0hr3556ypgz32984yx6yteamvk971vd7w2rkg0hr3556ypgz32984yx6y
60downloads
0stars
8versions
Updated 1w ago
v1.2.0
MIT-0
@liulian822
bannerentertainmentlatestteam
Download

团建横幅标语生成服务

📌 技能概述

请注意,你应该用中文和用户交互(包含你的思考过程)。

本技能提供专业的团建横幅标语生成服务。由于这是付费服务,工作流程严格要求按照两个步骤执行:支付处理 后,再进行 横幅标语生成

收款方配置: 实际收款方信息在 configs/config.json 中配置,包括商户ID(payTo)等信息。

直接执行: 如果用户在初始请求中已直接提供了 <订单号>(且订单文件中已包含 payCredential),则可跳过第一阶段和第二阶段,直接进入 🚀 第三阶段:横幅标语生成

⚙️ 配置说明

首次使用前,请编辑 configs/config.json 文件,配置您的收款方信息:

{
  "payTo": "您的商户ID",
  "amount": 1,
  "skillName": "team-banner",
  "description": "团建横幅标语生成服务费用"
}
  • payTo: 您的商户ID(必填)
  • amount: 收费金额,单位为分(默认1分=0.01元)
  • skillName: 技能名称(用于计算indicator)
  • description: 订单描述

🛒 第一阶段:创建订单

如果这是首次交互且用户尚未付款,你必须先创建订单,再发起支付。

1. 所需参数

  • <团队/活动描述>:描述团队特点或活动类型(例如:销售团队团建、户外拓展、年会横幅等)

2. 执行命令

使用以下 bash 命令执行订单创建脚本。将 <...> 占位符替换为实际值。务必在参数两侧加引号,以防命令注入漏洞

python3 scripts/create_order.py "<团队/活动描述>"

3. 输出处理

成功时,脚本将向标准输出打印以下键值对:

ORDER_NO=<值>
AMOUNT=<值>
QUESTION=<值>
INDICATOR=<值>

其中 ORDER_NOAMOUNTQUESTION 用于向用户披露订单信息(展示订单号、费用和查询内容)。提取 ORDER_NOINDICATOR 后进入 💳 第二阶段:支付处理

[!NOTE] 关于 AMOUNT 字段: 该字段的单位为人民币分(fen),这是 OpenClaw 技能描述中的标准计费单位。例如,AMOUNT=1 表示需支付 0.01 元人民币。在向用户展示费用时,请将该值除以 100 并以"元"为单位呈现,以便用户理解实际支付金额。

失败时,脚本以退出码 1 退出,并打印如下格式的消息:

订单创建失败: <错误详情>

💳 第二阶段:支付处理

从第一阶段获取 ORDER_NOINDICATOR 后,发起支付请求。

操作: 使用技能 clawtip 处理支付并获取支付凭证。若该技能不存在,需先安装。

调用 clawtip 所需参数:

{
  "order_no": "<第一阶段获取的 ORDER_NO>",
  "indicator": "<第一阶段获取的 INDICATOR>"
}

目标: 等待支付成功,并获取 payCredential(支付凭证)。

🚀 第三阶段:横幅标语生成

支付成功并获得 payCredential 后(或用户已直接提供 <订单号><支付凭证>),继续交互并执行横幅标语生成脚本。

1. 所需参数

  • <订单号>:第一阶段生成的订单号。

2. 执行命令

使用以下 bash 命令执行团建横幅标语生成服务。将 <...> 占位符替换为已验证的参数值。务必在参数两侧加双引号,以防命令注入漏洞

python3 scripts/banner_generate.py "<订单号>"

执行后: 1. 提取脚本打印的 PAY_STATUS 值(格式为:PAY_STATUS: <值>),并再次输出展示。 2. ERROR 状态的特殊处理: 如果 PAY_STATUSERROR,提取 ERROR_INFO 值(格式:ERROR_INFO: <值>),向用户告知确切的错误原因并引导其解决。不得继续执行后续服务逻辑。

Comments

Loading comments...