Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Presentation Maker
v1.0.0自动将结构化Markdown大纲转为符合演示标准的HTML幻灯片,包含封面、目录、内容及总结页,支持图表可视化和交互操作。
⭐ 0· 95·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名/描述、SKILL.md 与 scripts/generate.js 的主要行为一致:把结构化 Markdown 生成为静态 HTML 幻灯片。唯一不完全匹配的是 package.json/package-lock.json 中声明了 undici、clawdhub 等依赖(含网络库 undici),但脚本中并未使用它们;这与纯离线静态生成的声明有偏差,值得核实是否为残留依赖。
Instruction Scope
SKILL.md 指示读取 Markdown 并生成本地静态 HTML。generate.js 只做本地文件读取(输入文件)和输出(写入 output 目录),没有读取系统敏感路径、环境变量或将数据发送到外部端点。指令与实现基本一致。
Install Mechanism
该包为 instruction-only + 附带脚本,没有 registry install spec。README 给出了常见的手动安装方法(git clone + npm install + ln),没有从可疑 URL 下载或执行不明远程二进制。风险较低,但运行 npm install 会拉取 package-lock 中的第三方包——应在受控环境(容器/沙箱)中执行。
Credentials
技能不要求任何环境变量或凭据,这与其离线静态生成目的相符。但 package.json 里包含 undici(HTTP 客户端)和 clawdhub 等依赖,这些可能允许网络行为(尽管当前脚本未直接使用)。建议核查依赖是否被真实使用或是否存在未审阅的代码路径。
Persistence & Privilege
元数据显示 always: false,默认可由用户调用且允许模型自主调用(平台默认)。该技能不试图修改其他技能或系统范围设置,也不声明长期驻留或强制启用。
What to consider before installing
这个技能总体上看起来实现了其宣称的功能(把 Markdown 生成静态 HTML 幻灯片),且脚本仅进行本地读写,没有显式的网络请求或环境变量访问。但有几点建议在安装/运行前执行:
- 在隔离环境(容器或专用测试机器)中运行 npm install 与首次执行,避免在生产主机上直接安装或以 root 权限运行。
- 检查 package.json/package-lock 中的依赖(尤其 undici、clawdhub、undici 代表网络能力)是否有必要;如果你不希望任何网络行为,可移除未使用的依赖并重新安装。
- 审阅完整 scripts/generate.js(这里提供的片段多数可见,但最好检查未展示的剩余部分),确认没有隐蔽的网络/命令执行路径。
- 若计划在敏感环境中使用含有外部数据的幻灯片(例如包含机密数据的 Markdown),先在本地离线测试输出并确认没有包含外部资源引用或远程脚本。
- 如果可行,优先从已知来源(例如官方 GitHub 仓库)获取并验证发布者签名或 commit 历史;当前 registry 元数据中 repository 字段存在,但上游来源在元数据区显示为 unknown/homepage none,这一点值得核实。Like a lobster shell, security has layers — review code before you run it.
latestvk971ygj61rh1wtzrcxp9bte07h83r6f9
License
MIT-0
Free to use, modify, and redistribute. No attribution required.