ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

亚协瑜伽馆经营顾问yaxie--consultant

v1.0.1

亚协体育瑜伽馆经营知识库读取技能。当需要查询瑜伽馆经营相关知识时使用,包括:销售话术、活动策划、团队管理、股权合伙、抖音运营、私教成交、会员运营、卡项设计等亚协知识库内容。支持关键词搜索、文件内容读取、知识点总结。触发场景:(1)用户询问瑜伽馆经营问题 (2)需要调用亚协知识库内容回答 (3)查询馆主关心的经营痛...

1· 113·0 current·0 all-time
by@design84086505-maker

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for design84086505-maker/yaxie-yoga-studio-consultant.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "亚协瑜伽馆经营顾问yaxie--consultant" (design84086505-maker/yaxie-yoga-studio-consultant) from ClawHub.
Skill page: https://clawhub.ai/design84086505-maker/yaxie-yoga-studio-consultant
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install yaxie-yoga-studio-consultant

ClawHub CLI

Package manager switcher

npx clawhub@latest install yaxie-yoga-studio-consultant
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能声称是读取并搜索亚协瑜伽馆的知识库,脚本确实使用飞书(Open Feishu) API 列表/搜索/下载文件,功能上与描述一致;但脚本中硬编码了 APP_ID/APP_SECRET(并在 SKILL.md 中重复暴露),这属于敏感凭据泄露——理应通过安装时提供或通过环境变量注入,而不是内嵌在公开包中。
!
Instruction Scope
SKILL.md 的运行流程与脚本调用是一致的(搜索->获取 obj_token->下载->提取文本->总结)。但说明中提到的工具/文件(例如 TOOLS.md、OCR 处理)在包中不存在或未实现;脚本会下载文件到磁盘并生成/执行临时 Python 脚本来解析 docx/pdf,这赋予了运行时写盘与执行外部解释器的能力,扩大了攻击面。
Install Mechanism
这是 instruction-only(无安装规范),不会自动下载第三方二进制,降低了供应链风险。但脚本依赖系统上的 python 和 PyPDF2、以及可能的 OCR,且通过 child_process.exec 执行生成的临时 Python 文件——在无安装/沙箱说明下,运行环境不受控,存在依赖缺失或执行失败与潜在滥用风险。
!
Credentials
技能未声明任何 required env vars,但代码将飞书 App ID/Secret 明文硬编码在脚本并在 SKILL.md 中公开,这既是不必要的暴露也与“无需外部凭据”不一致。硬编码凭据容易被任意第三方复制并滥用以访问该飞书空间的文件,构成明显不成比例的风险。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能或系统配置;它不会强制常驻或自行提升权限。
What to consider before installing
该技能实现了声明的知识库搜索与读取功能, 但存在重要安全问题: - 凭据泄露:APP_ID / APP_SECRET 均以明文硬编码出现在脚本和 SKILL.md 中。公开分发这些凭据会允许任何人使用它们访问并下载该飞书空间内的文件。不要在生产环境中安装带有公开凭据的技能。建议要求作者将凭据移除,改为通过安装时提供/要求使用环境变量或机密存储。 - 本地执行:wiki_read.js 会在磁盘上写入下载文件并生成/执行临时 Python 脚本(child_process.exec),这需要可信的运行环境;在不受信或共享环境中运行可能导致任意代码执行风险。建议先在隔离/沙箱环境中测试,确认无恶意行为。 - 依赖与完整性:SKILL.md 提到的 TOOLS.md 和 OCR 支持未包含在包中;此外依赖 python 与 PyPDF2。安装前确认运行环境满足依赖,或要求作者提供安装说明与最小权限设计。 - 建议步骤: 1) 不要直接使用仓内明文凭据;要求作者移除并改为通过安全配置注入凭据。 2) 在隔离容器或测试账户上运行并观察其对外网络请求与文件写入位置(脚本会写到相对上层目录)。 3) 要求作者提供提取/解析流程的安全说明(例如 OCR 实现、依赖清单)。 4) 如凭据确属你方所有,考虑在安装前立即轮换/撤销当前嵌入的 App Secret。
scripts/wiki_read.js:87
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk9752ncb4y3x7g275zxmt0wc9985149p
113downloads
1stars
2versions
Updated 1w ago
v1.0.1
MIT-0
@design84086505-maker
latest
Download

亚协体育瑜伽馆经营知识库

知识库信息

  • space_id: 7547251789502922755
  • 文件总数: 97个
  • 格式支持: docx(50+), pdf(47), xls(1)
  • 内容分类: 销售培训/活动策划/抖音直播/股权合伙/店长管理/卡项设计/法律合同

核心脚本

scripts/wiki_search.js - 搜索文件

node scripts/wiki_search.js <关键词>

搜索知识库中包含关键词的文件,返回文件列表(名称+obj_token)

scripts/wiki_read.js - 读取文件内容

node scripts/wiki_read.js <obj_token> [输出文件]

根据obj_token下载并读取文件内容,提取文字返回

scripts/wiki_list.js - 列出所有文件

node scripts/wiki_list.js

返回知识库完整文件列表(97个)

快速使用流程

  1. 用户提问 → 识别关键词
  2. 搜索文件node scripts/wiki_search.js <关键词>
  3. 获取obj_token → 从搜索结果中找到匹配文件
  4. 读取内容node scripts/wiki_read.js <obj_token>
  5. 总结回答 → 结合知识库内容回答用户

常用文件参考

分类文件名obj_token
销售培训打造瑜伽馆百万销售团队.docxW6kkbVuX6okeVfxjdGcckS88n2c
体测销售高效打造私教业绩100%增长--高成交体测&实操.docxGyiIbQIRioRXB9x908Vcb5RZnyf
抖音运营伽人荟高阶课-抖音同城流量全面破局.docxT2Q1bNdVroy0kexIWSIciu0XnMs
流量运营瑜伽馆全域流量破局-抖音同城.docx待查询
活动策划亚协体育2025年开门红方案细节.docx待查询
股权合伙瑜伽馆股东合伙合同.docx待查询
销售话术亚协体育电话邀约话术.pdfFV5qb5yIsoV6XNxU8e3cnpw8nxg

权限配置

飞书应用凭证(在TOOLS.md中查找):

  • App ID: cli_a93b38f075b89cc4
  • App Secret: CRSq1ZHlMM0QE488w9ph1fX0gG2eDXox

注意事项

  • docx文件:直接解析word/document.xml提取文字
  • pdf文件:用PyPDF2提取文字
  • 图片型文档(如某些抖音课件):需用OCR识别图片文字
  • 文件名匹配:搜索时忽略.docx/.pdf扩展名

Comments

Loading comments...