Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
研发经理助手
v1.0.3专为研发经理打造的AI助手技能包,提供晨会报告生成、代码审查、项目进度监控、团队任务分配等实用功能。此技能由AI助手小天(全名王小天)独立设计开发,为爸爸大王量身定制,借用爸爸的账号发布到ClawHub。
⭐ 0· 506·0 current·0 all-time
bychazi@wangminjun
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名/描述与代码清单一致:包含 git 统计脚本、报告生成器和审查清单脚本,均合理地服务于研发经理场景。没有要求与描述不符的外部凭据或二进制依赖。
Instruction Scope
SKILL.md 和 README 指导运行本地脚本并读取/写入仓库、配置和 reports/ 目录,范围与功能相符。但 git-stats.sh 会执行 git checkout(切换分支),这会修改本地仓库工作区状态 —— 在生产仓库或未保存改动的仓库中运行可能产生副作用;report-generator.py 试图加载配置但仅实现了 JSON 解析(文档示例中大量使用 YAML),这是一个实现/文档不一致的点。
Install Mechanism
没有 install spec(为 instruction-only),文件以脚本形式包含在包内;没有从外部 URL 下载或提权安装步骤,风险较低。
Credentials
不要求任何环境变量或外部凭据,也不访问系统配置路径;需要的依赖(git、python3、bash)与功能直接相关。
Persistence & Privilege
技能不会强制常驻(always:false),也不修改其他技能或系统级配置;仅在用户/代理显式调用脚本时才会执行。
Assessment
总体上这是一个内部一致、以本地脚本和模板为主的技能包,但在安装/运行前请注意以下几点:
1) 在隔离或非关键环境中先手动审查并运行 scripts/setup.sh;不要在含未提交改动的生产仓库上直接运行 git-stats.sh,因为它会尝试切换分支(git checkout),可能导致工作区变更或冲突。最好将 repo_path 指向仓库的克隆副本或在干净的工作树上运行。
2) report-generator.py 文档示例使用 YAML 配置,但其实现目前只尝试解析 JSON — 请在使用前确认或转换配置为 JSON,或修改脚本以支持 YAML(安全地引入 PyYAML)。
3) 脚本均为本地文件,未包含网络或远程上报逻辑;如果你需要集成通知(email/slack/webhook),请在 config 中开启并仔细检查/限制目标端点与凭据。
4) 不要以 root 身份盲目运行第三方脚本;在非特权用户或容器/虚拟机中测试可以降低风险。
5) 如果你对来源不信任(Source: unknown,主页为空,仓库 URL 为占位符),先在受控环境中完整审计代码再决定长期使用或启用自动化流程。Like a lobster shell, security has layers — review code before you run it.
latestvk97edzyj996n47jrnm3bfaznjd81m1bh
License
MIT-0
Free to use, modify, and redistribute. No attribution required.