shop-review-generator

几点建议，安装前请考虑并采取措施： 1) 内置高德 API Key：脚本中有明文 AMAP_KEY。询问/核验该 key 的归属与使用条款；如果你要在生产或包含私人信息的环境中使用，要求技能作者改为通过环境变量传入或移除内置 key，最好使用你自己的 key 并限制权限与配额。不要盲用别人嵌入的 key（可能导致计费、滥用或可追溯问题）。 2) 隐私与网络请求：技能会把用户提供的店铺链接、店名和可能的图片用于网络请求（高德 API、搜索引擎）；如果你上传敏感图片或提供私有链接，这些会被发送到外部服务。审慎处理含个人信息的图片或定位数据。 3) HEIC 转换与本地命令：convert_heic.py 可调用 sips / ImageMagick / Pillow。运行时会调用本地二进制（subprocess），在受限/受信任的环境中执行较安全；在不信任环境下建议在沙箱或隔离容器中运行。 4) SSL 验证：amap_poi.py 在缺少 certifi 时会退回到不验证证书的上下文（_create_unverified_context），这会降低 HTTPS 请求的安全性。建议在环境中安装 certifi 或检查脚本以强制验证证书。 5) 要求作者改进（可选但推荐）： - 不要把第三方/共享 API key 明文提交，改为读取环境变量并在 README/文档中说明如何配置。 - 明确列出将向哪些外部域名发起请求（restapi.amap.com、搜索引擎等）。 - 在 SKILL.md 中记录哪些数据会被发送（图片、链接、店名等）并提示隐私风险。 6) 如果你不能确认 key 的归属或不愿意暴露图片/链接，避免启用或在受控环境中试用；在确认作者/来源可信并做出上述改动后再在生产环境使用。 综合来说，这个技能的功能与实现大体一致，但嵌入的凭据与可导致外部请求的数据流是值得注意的安全/隐私问题，建议在解决凭据与 SSL 验证问题前视为可疑并谨慎使用。