prd-development
v1.0.1将产品需求转化为Coding Agent可执行的需求文档。当用户提到"写PRD"、"产品需求文档"、"用户故事"、"功能说明",或提供会议记录/功能描述需要整理成开发文档时触发。
⭐ 0· 173·2 current·2 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能名称与说明(将用户输入整理为可执行的 PRD)与 SKILL.md 中的工作流和输出完全匹配;它不要求额外的系统权限、环境变量或二进制依赖,所需资源与功能相称。
Instruction Scope
SKILL.md 的运行指令限制在收集/整理需求、生成用户故事与功能说明、以及调用 docx_handler 将文档导出为 Word。唯一需要注意的扩展行为是:阶段二会“自动加载对应的领域 skill”(例如 DNS-analysis、botnet-analysis),并且阶段七会调用 docx_handler。技能本身没有指示读取本地敏感文件或环境变量,但自动加载/调用其他技能会把后续执行权交给那些技能,因此可能导致范围外行为,取决于被调用技能的实现。
Install Mechanism
指令-only,无安装规范、无代码文件,也不下载或写入磁盘。最低风险。
Credentials
本技能声明不需要任何环境变量或凭据。表中提到的其他技能名(如 DNS-analysis、botnet-analysis、docx_handler)可能需要凭据,但这不属于本技能直接请求的范围;建议在允许本技能调用这些技能前,先审查它们的要求。
Persistence & Privilege
always:false(默认),不会被强制常驻;disable-model-invocation:false(允许被模型自动调用)是平台默认行为。单独来看这并不构成异常,但结合自动加载其他技能的行为,应确认平台上这些技能的自治权限和边界。
Assessment
这个技能本身是“写 PRD”的指令集合,逻辑清晰且与说明一致。主要需要你关心两点:
1) 自动加载的外部技能:SKILL.md 会在检测到特定关键词时自动加载其它领域 skill(例如 DNS-analysis、botnet-analysis),并在完成后调用 docx_handler 导出 Word 文档。安装或启用此技能前,请先检查这些被引用的技能(名称、来源、它们要求的环境变量或凭据、是否会上传数据到外部服务)。如果你不认识或不信任这些被调用技能,禁用自动加载或在使用时手动确认加载。
2) 敏感数据处理:在把真实的会议记录或敏感需求输入到该技能前,先用非敏感示例测试流程,确认 docx_handler 的导出/传输行为(是否把文档上传到第三方)。
如果你能审查并信任被调用的领域 skill 与 docx_handler,且平台对技能间调用有恰当的授权控制,该技能可视为用途明确且可用。Like a lobster shell, security has layers — review code before you run it.
latestvk977jmybjynt3s0yb6167sm1f183y44a
License
MIT-0
Free to use, modify, and redistribute. No attribution required.