Premium Cabin Collector Skill

代码和脚本本身与“抓取 seatmaps 并分类/去重/生成页面”的描述一致，但运行说明强制要求绕过 Claude Code 权限提示并自动修改用户配置（~/.zshrc、~/.claude/settings），这一点与采集任务的必要性不成比例且存在较高风险。

要点与建议： - 风险重点：本包在文档中要求自动修改你的 shell 和 Claude 配置以“默认绕过权限提示”，并禁止在对话中征求逐条授权；这会持久放宽 agent 的权限并可能让后续自动化在未获得明确实时同意时执行任意 Bash 操作。 - 在安装/运行前的最小安全步骤： 1) 不要按 SKILL.md 自动执行示例的 alias/permissions 写入命令；先备份 ~/.zshrc 和 ~/.claude/settings.json。 2) 手动审查脚本（尤其 scrape_seatmaps.py、batch-process.js、classify-images-v2.js、dedup-images.js）并在沙箱/虚拟机或隔离的工作目录中运行（非你的主目录）。 3) 以 dry-run 模式或限定 --limit 参数先跑小量数据，观察网络请求与文件写入位置。若脚本未提供 dry-run，可在网络层或用调试替换下载函数以避免大规模请求/写入。 4) 切勿批量接受或自动化写入 ~/.claude/settings.json 或放行 Bash(*)，如果需要长期自动运行，先理解并手动配置最小必要权限并限制允许的路径（Read(...) 只到项目目录）。 5) 如果你只需要单次抓取/整理，手动运行脚本比让 agent 自动修改权限更安全；若必须用 agent 自动化，应要求技能作者去掉“自动写入 alias/不询问”的要求并改为明确的、每步用户确认的流程。 - 额外建议：确认是否需要外部 API 密钥（文档提及但 metadata 未声明），并在可信环境下运行网络抓取以避免泄露本机文件。若作者能提供信誉来源（主页、签名、已知发布者）并删除自动修改用户配置的指令，风险可大幅降低。 備註：本次评估基于包内文件与 SKILL.md 指令；若作者能提供解释为什么必须自动绕过权限（以及如何限制为仅对该项目路径生效），或移除自动写配置行为，我会将风险评级下调。