ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

compliance-archive-claw

v1.0.0

合规制度归档虾 — 企业法律文件、规章制度的数字档案管理。用于归档新制度文件、更新版本、标记废止、全文检索、导出文件清单。 触发场景:用户说"归档制度"、"归档文件"、"查询制度"、"制度更新"、"标记废止"、"合规检查"、"导出文件清单"、"版本管理"等。 支持输入:Excel/CSV 文件清单、自然语言描述、...

0· 97·0 current·0 all-time
byRicky@tujinsama

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for tujinsama/compliance-archive-claw.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "compliance-archive-claw" (tujinsama/compliance-archive-claw) from ClawHub.
Skill page: https://clawhub.ai/tujinsama/compliance-archive-claw
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install compliance-archive-claw

ClawHub CLI

Package manager switcher

npx clawhub@latest install compliance-archive-claw
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名/描述与脚本功能总体一致(归档、版本管理、检索、导出),所需资源也保持本地:SQLite、文件复制、可选的 pdftotext/pandoc。问题是 SKILL.md 声称的“提取标题、章节、关键条款、生成摘要和关键词、支持 Excel/CSV 解析、全文检索索引”在脚本中的实现非常基础或缺失:脚本仅将文件复制并用文件名/type/version 生成 keywords,并未实现文档内容提取或 Excel/CSV 解析逻辑。
!
Instruction Scope
SKILL.md 指令期望读取/解析文件内容并建立全文索引,但 scripts/archive-document.sh 没有调用 pdftotext/pandoc,也未解析 Excel/CSV;全文检索依赖的 FTS 表被创建并有手动插入,但内容字段并未被实际填充。更重要的是,脚本通过字符串插值直接构建 SQL 语句(INSERT/UPDATE/SELECT),并在 search 中直接把用户的 --keyword 拼入 SQL WHERE 的 MATCH 子句,这会导致 SQL/FTS 注入和误处理含单引号或特殊字符的文件名/关键字。脚本还使用了环境变量 ARCHIVE_ROOT(在文档里有提及)和 USER(未在 requires.env 显示,但常见),这本身合理但未加以说明。
Install Mechanism
无安装规范(instruction-only + 脚本文件),没有下载远端代码或第三方包安装步骤,风险较低。但文档列出可选依赖 pdftotext、pandoc、sqlite3,脚本并不强制调用这些工具——如果用户补充实现全文抽取,会依赖本地二进制。
Credentials
不请求任何外部凭据或高权限环境变量;默认写入到用户家目录下的 ARCHIVE_ROOT(可被环境变量覆盖)。唯一隐含的环境依赖是 USER(用于记录 changed_by)和可选的 ARCHIVE_ROOT。总体访问范围与归档用途相称。
Persistence & Privilege
always: false,技能不会被强制常驻。脚本会在用户指定的 ARCHIVE_ROOT 下创建目录和 SQLite 数据库,这属于其预期功能,不修改其他技能或系统配置。
What to consider before installing
该技能看起来确实是一个本地归档/版本管理工具,但实现比文档保守许多且存在可利用的输入处理缺陷。注意以下几点: - 不要在生产/敏感环境直接运行:先在隔离账户或容器中测试。脚本会在用户主目录下写入文件和创建 SQLite 数据库。 - SQL/FTS 注入风险:scripts/archive-document.sh 通过字符串拼接将文件名、type、version、keyword 等直接写入 SQL,攻击者如果能上传或控制这些值可能导致查询注入或破坏数据库。安装前应修复:对所有插入/查询参数进行转义或改为使用参数化接口(例如用受信任的 sqlite 库在 Python/Go 中绑定参数,或在写入前清理/转义单引号和特殊字符)。 - 功能预期差异:SKILL.md 提到的“全文提取、章节/关键条款抽取、Excel/CSV 解析”并未在脚本中实现——如果你依赖这些功能,需自行实现或扩展脚本(并确保 pdftotext/pandoc 的安全使用和对扫描件/二进制文件的处理)。 - 文件权限与访问控制:脚本提示“敏感文件归档前确认访问权限设置”;请在归档目录上设置合适权限,并确保备份策略和删除策略符合合规要求。 - 建议改进:在插入 SQL 前使用严格的白名单/正则校验文件名和类型、对 keyword/search 输入进行过滤或限制搜索语法、把文档内容提取并把内容列以受控方式写入 FTS 表(并记录 provenance)。 如果你希望我,我可以: 1) 提出一个修补脚本示例,演示如何安全地绑定/转义 SQLite 参数; 2) 指导如何把 pdftotext 输出安全地写入 FTS 并实现 Excel/CSV 解析; 3) 或者生成一个更安全的实现建议清单供开发者参考。

Like a lobster shell, security has layers — review code before you run it.

latestvk97324me7c9tg9dc1wkd1pmq7x859p9e
97downloads
0stars
1versions
Updated 1w ago
v1.0.0
MIT-0
Ricky@tujinsama
latest
Download

合规制度归档虾

企业法律文件和规章制度的统一数字档案库。建立"永久记忆、随用随查"的制度管理体系。

工作流程

步骤 1:接收归档请求

提取关键元数据:文件名、类型、版本号、生效日期、适用范围。

  • 结构化输入:读取 Excel/CSV 文件清单
  • 自然语言输入:从描述中提取元数据,缺失字段向用户确认

步骤 2:文件预处理

  • 识别文件格式(Word/PDF/Excel)
  • 提取标题、章节、关键条款
  • 生成摘要和关键词标签

步骤 3:版本管理

  • 检查是否存在同名历史版本
  • 新版本归档时,自动将旧版本标记为"已废止"
  • 记录版本变更历史(时间、修订人、主要变更)
  • 版本规则详见 references/version-control.md

步骤 4:分类归档

按文件类型自动分类,生成唯一档案编号(格式:REG-YYYY-NNN)。 分类体系详见 references/file-classification.md

步骤 5:建立索引

  • 全文检索索引(文件名、关键词、条款内容)
  • 关联相关文件(如《采购管理制度》关联《供应商管理办法》)

步骤 6:通知与日志

  • 重要制度更新时,通知受影响人员(可选,需用户确认)
  • 生成归档日志:操作人、时间、文件信息、档案编号

脚本工具

使用 scripts/archive-document.sh 执行归档操作:

# 归档新文件
./scripts/archive-document.sh archive \
  --file "员工手册v3.0.pdf" \
  --type "公司制度/人事制度" \
  --effective-date "2026-04-01"

# 全文检索
./scripts/archive-document.sh search --keyword "报销标准"

# 导出文件清单
./scripts/archive-document.sh export \
  --type "公司制度" --start-date "2023-01-01"

# 更新版本(自动废止旧版)
./scripts/archive-document.sh update-version \
  --file "员工手册v3.0.pdf" --old-version "v2.0"

脚本依赖:bashpdftotext(PDF提取)、sqlite3(元数据存储)、pandoc(格式转换,可选)

存储结构

$ARCHIVE_ROOT/
├── 法律法规库/
├── 公司制度库/
│   ├── 人事制度/
│   ├── 财务制度/
│   ├── 业务制度/
│   ├── IT制度/
│   └── 安全制度/
├── 行业规范库/
├── 合同模板库/
└── archive.db  ← SQLite 元数据库

默认 ARCHIVE_ROOT=~/.compliance-archive,可通过环境变量覆盖。

输出格式

归档完成后,向用户返回:

  • 档案编号(如 REG-2026-042
  • 归档路径
  • 版本变更摘要(如有旧版被废止)
  • 关键条款索引摘要

注意事项

  • 仅支持 Word/PDF/Excel 文本格式,不支持扫描件/图片
  • 文件需经人工审批后再归档,本工具不提供审批功能
  • 敏感文件归档前确认访问权限设置

Comments

Loading comments...