by 下载技能包
最后更新
2026/4/22
安全扫描
OpenClaw
安全
medium confidence该技能的声明、所需资源和运行指令逻辑一致——看似仅用于处理预览确认/取消/重生的轻量确认处理器,但实现细节依赖外部脚本且描述模糊,安装前建议核验相关脚本及调用链。
评估建议
安装或启用前请确认:
- 该 skill 引用并调用位于 $SK 的脚本(如 timeout_notify.sh)及同套件另一 skill 的安装文档,但本包未包含这些脚本。向发布者索取并审阅,确保其不访问敏感文件、未授权外部端点或凭证。
- 验证“重新生成”与“清理”步骤的边界:是否发起网络请求、写入非 /tmp 路径、读取环境变量等。
- 如欲最小化风险,先在受控环境(受限账户或沙箱)运行并观察,或要求实现方明确列出所需文件/命令。
总体而言,该技能描述与请求一致,但真实行为取决于未提供的外部脚本——故置信度为中等。详细分析 ▾
✓ 用途与能力
名称和描述为“设计框架确认处理器”,SKILL.md 仅执行与确认/取消/重新生成及超时通知相关的文件/通知操作;所需二进制、环境变量或配置路径为空,无与声明目的不符的请求。
ℹ 指令范围
运行时指令限定在检查 /tmp/design-framework-lock、更新/创建 /tmp/design-framework-confirmed、清理临时文件、重新生成框架并发送预览以及调用 $SK/timeout_notify.sh 等脚本。指令对“重新生成”和“清理”步骤较为抽象,实际行为取决于外部脚本(未包含)。这种依赖外部脚本使得运行时效果不透明——脚本可能执行额外网络或文件操作。
✓ 安装机制
这是指令-only 的技能,没有安装规范或下载步骤,因此没有额外安装风险。
✓ 凭证需求
该技能不依赖任何环境变量、凭证或配置路径,仅需访问 /tmp 下的锁与标记文件,与其用途相符。
✓ 持久化与权限
技能未设置 always:true,也未声明修改系统或其他技能的配置。它通过检测/修改 /tmp 文件维持短期状态,权限需求有限且与功能相符。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/4/22
v2.0 拆分重构:单一职责,处理确认/取消/重新生成,含10分钟超时机制
● 无害
安装命令
点击复制官方npx clawhub@latest install design-framework-confirm
镜像加速npx clawhub@latest install design-framework-confirm --registry https://cn.longxiaskill.com