📦 Tax — 税

v1.0.0

Invoice Guard InvoiceGuard · Invoice Compliance Guardian — AI驱动的发票去重、校验与合规报告生成。支持：发票上传/扫描重...

0· 14·0 当前·0 累计

by @jeffersplind92 (YK-Global)

数据分析数据可视化 AI模型访问安全加密

下载技能包

最后更新

2026/4/22

安全扫描

VirusTotal

无害

查看报告

OpenClaw

可疑

medium confidence

该技能的代码与 SKILL.md 依赖多个外部集成（miaoda CLI、Feishu、State Tax API）及外部验证服务（yk-global），但包元数据未声明任何必需的二进制文件或环境变量——多项能力/凭证不匹配且存在未说明的网络调用，需谨慎。

评估建议

该包看似实现了宣传的功能，但多处不匹配及外网行为使其可疑而非干净。安装或运行前： 1）请作者明确列出所需环境变量/密钥（Feishu app_token/app_secret、yk-global API key、任意税务凭证）并更新 registry 元数据。 2）验证 https://api.yk-global.com 及变更日志中提到的 124.220.60.10 服务器的合法性——确认谁接收 API/密钥验证请求、发送哪些数据。 3）检查调用 verify_api_key() 及税务验证函数的代码路径，查看哪些发票字段或原始图片被传输；要求最小化（仅发送必要字段）并启用 TLS 验证。 4）要求明确文档说明数据保留政策，以及原始发票图片是否曾上传至主机外或被记录。 5）确保外部二进制文件（miaoda-studio-cli）来自可信源，或用已审核的 OCR 库替代；确认 skill 不会执行任意 shell 命令。 6）若必须在生产环境处理敏感发票，请在隔离、可审计的环境（断网或企业内网）中运行脚本，且在确认端点与数据流前勿提供企业税务凭证。若作者无...

详细分析 ▾

⚠ 用途与能力

该 Skill 声称具备发票 OCR、税局查验及飞书报表发布功能。SKILL.md 与脚本调用了 miaoda-studio-cli、飞书文档/多维表格 API 以及 YK-Global 查验端点（https://api.yk-global.com）。但注册元数据中未声明任何必需二进制文件，也未声明所需环境变量/凭据。预期的凭据（飞书 app token/secret、税务 API 凭据或 provider API key）均未声明——这存在矛盾，需作者澄清。

⚠ 指令范围

运行时指令显式调用外部工具（miaoda-studio-cli），并描述连接国家税务总局验证平台与飞书。所含 Python 脚本通过 urllib 向外部验证服务（yk-global）发起网络请求，内置税务机关验证逻辑分支；因此指令与代码将发票衍生数据传至外部端点。SKILL.md 未记录发送至 yk-global 的具体内容，也未说明税务机关请求/验证码/OCR 验证的处理方式。该外部数据传输范围超出简单本地解析目的，且未在元数据中说明。

ℹ 安装机制

无安装规范（仅注册表指令），可降低安装器风险；但本包包含三个非平凡的 Python 脚本，将在 agent 运行时执行。未声明任何包安装，但 SKILL.md 要求外部二进制 miaoda-studio-cli 存在——该运行时依赖未声明。因代码存在且执行网络 I/O，操作员运行前应检查并控制执行环境。

⚠ 凭证需求

该技能在元数据中未声明任何环境变量，但代码却依赖需要凭据的外部 API 与动作：verify_api_key() 向 https://api.yk-global.com 发起请求并需接受 API key；compliance_report.py 中的 Feishu 集成需要 app_token/app 凭据及 FEISHU_FOLDER_TOKEN；税务机构验证（SKILL.md 与 references/tax-api.md）需要开发者/企业账号，可能涉及爬取/OTP/验证码处理。未声明所需密钥造成不匹配，也掩盖了敏感凭据的提供位置及保护方式。

✓ 持久化与权限

该 skill 未标记 always:true，采用默认的自主调用行为。无证据表明其试图修改其他 skill 或系统级 agent 设置。README 声称“不存储原始发票数据”及“沙箱执行”，但仅为文档声明——用户需自行验证可能写文件或缓存令牌的代码路径。整体权限请求看似标准（网络调用），在元数据中未提升。

安全有层次，运行前请审查代码。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/22

InvoiceGuard 首发版——AI 驱动的发票合规工具： - 支持图片、PDF、OFD、XML 格式发票上传与识别。 - 多方法 AI 去重：字段、哈希、图像三重查重。 - 集成国家税务总局发票查验（Pro）。 - 按财办〔2023〕18 号生成结构化合规报告（Pro），支持飞书文档与 Bitable 集成。 - 批量处理：去重、查验、报告一键完成。 - 隐私保护：发票数据即时处理并丢弃。

● 无害

安装命令

点击复制

官方npx clawhub@latest install tax-invoice-guard

镜像加速npx clawhub@latest install tax-invoice-guard --registry https://cn.longxiaskill.com

数据来源：ClawHub ↗ · 中文优化：龙虾技能库