Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
写材料格式工具
v1.1.0根据调研报告或公文规范模板,将原始文本自动排版成标准.docx格式,支持格式自动识别和参考文件规范应用。
⭐ 0· 70·0 current·1 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名称/描述与包含的脚本功能(将文本排版成 .docx)匹配。小问题:SKILL.md 声称“完全自包含,无需外部参考文件”,而脚本文档字符串提到“自动加载参考规范文件(文件格式要求文件夹)”,两者自相矛盾。脚本依赖 python-docx,但依赖未在 metadata 或 install spec 中声明。
Instruction Scope
运行说明限定为接收文本、自动识别文档类型并生成 .docx,默认把文件写到用户桌面下的专属文件夹,支持自定义输出路径。指令没有要求读取系统凭证、网络上传或访问系统范围内的配置文件。唯一需要注意的是允许用户指定任意输出路径(正常需求,但意味着可写任意位置)。
Install Mechanism
没有 install spec(instruction-only / script-included),这是低风险。但脚本需要 python-docx(以及运行 Python 环境),这些依赖未声明。缺少依赖声明会导致运行时不确定性(agent/环境可能需要安装额外包),应在 metadata 中列明。
Credentials
不请求任何环境变量、凭据或配置路径,对秘密/凭证访问无要求,权限需求与功能相称。
Persistence & Privilege
flags 显示 always: false,允许被用户调用且可被模型自主调用(平台默认)。脚本不会修改其他技能或系统设置,只是在用户文件夹中写入输出文件,权限范围有限。
What to consider before installing
考虑安装/使用前的几点建议:
1) 依赖:确保运行环境有 Python 和 python-docx 库(SKILL.md 提到 python-docx,但该依赖未在元数据或 install spec 中声明)。
2) 不一致性:SKILL.md 写“完全自包含”,但脚本 docstring 暗示会“自动加载参考规范文件”。请确认完整脚本(清单显示脚本被截断)是否会读取额外本地文件或文件夹——如果会,检查这些路径和文件来源是否可信。
3) 文件写入:默认会在 ~/Desktop/openclaw专属文件夹/ 创建并保存 .docx,若不希望写到桌面请用自定义 -o 路径;注意不要提供敏感目录作为输出路径。
4) 字体与渲染:脚本使用多种“方正”字体,若系统无这些字体,Word 会回退渲染,格式可能与预期不同,这属于正常兼容性问题。
5) 完整性审查:因代码文件在清单展示时被截断(CLI 部分未完整显示),建议在信任并安装前请求/检查完整的 scripts/format_article.py 源码,确认尾部 CLI 逻辑没有额外的网络、外部文件读取或不当行为。
总体判断:功能与描述大体一致,但上述不一致与源码未完整可见带来不确定性——若你打算用于敏感环境,请先验证依赖与完整源码再决定是否安装/授予执行权限。Like a lobster shell, security has layers — review code before you run it.
latestvk978vqah4mynfkwf7p5rgbarph83zmqb
License
MIT-0
Free to use, modify, and redistribute. No attribution required.