首页 / 技能 / Cms Tbs Scene Create提供【TBS场景创建】全流程执行能力。用户一旦表达“创建TBS场景/建训练场景/把业务背景转成可创建场景/确认后创建场景”等执行意图,必须进入本 — Cms Tbs Scene Create 提供【TBS场景创建】全流程执行能力。用户一旦表达“创建TBS场景/建训练场景/把业务背景转成可创建场景/确认后创建场景”等执行意图,必须进入本

📦 Cms Tbs Scene Create提供【TBS场景创建】全流程执行能力。用户一旦表达“创建TBS场景/建训练场景/把业务背景转成可创建场景/确认后创建场景”等执行意图,必须进入本 — Cms Tbs Scene Create 提供【TBS场景创建】全流程执行能力。用户一旦表达“创建TBS场景/建训练场景/把业务背景转成可创建场景/确认后创建场景”等执行意图,必须进入本

v0.5.4

Skill 的结构化解析与脚本调用流程;仅当用户明确是纯咨询时,才允许先文字说明并二次确认是否执行。本 Skill 通过依赖 `cms-auth-skills` 获取...

0· 8·0 当前·0 累计
by @spzwin
生产力工具
下载技能包
最后更新
2026/4/22
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能在内部与其既定目标(创建 TBS 场景)一致,但存在几处安全和操作上的不匹配,安装前值得审查(特别是禁用了 TLS 验证,以及可能暴露给用户的机器可读输出)。
评估建议
该技能确实实现了其声称的功能(解析 → 验证 → 创建 TBS 场景),并正确依赖独立的 auth 技能获取 access token。安装前请检查: (1) 安全:客户端禁用 TLS 验证(verify=False)——要求作者移除或改为可配置/默认启用;否则 API 可被中间人拦截。 (2) 数据泄露:脚本会打印机器可读 JSON 及错误文本(含请求体片段);确保你的 agent 绝不向用户展示这些原始内部输出。 (3) Access token 处理:确认 cms-auth-skills 会安全传递 access token,且下游不会记录或打印 token。 (4) 网络端点:默认 base_url 指向特定 mediportal 域名——确认其为预期 API 主机。 若无法验证或缓解 TLS 与输出泄露问题,视该技能为不可信,禁止在生产环境启用。 如仍要使用,请维护者:(a) 默认启用 verify=True,(b) 避免在用户可见日志中打印敏感内部信息,(c) 文档化运行时所需 Python 依赖(requests)。...
详细分析 ▾
用途与能力
名称/描述与实现一致:该包包含解析、验证和创建脚本,以及调用 tbs-admin 服务的 TBS API 客户端。声明的对 cms-auth-skills 的依赖和对 access-token 的需求,与向 TBS Admin API 进行身份验证的要求相符。未请求无关的环境变量或意外的二进制文件。
指令范围
SKILL.md 要求内部编排保持静默(读取引用、运行脚本,不暴露内部 JSON),这是合理的。然而,所包含的脚本会故意向 stdout/stderr 输出机器可读的 JSON 载荷和错误信息。若 agent 未严格遵守 SKILL.md,这些结构化输出(载荷、resolutionReport、validationReport、错误体)可能被用户意外看到。SKILL.md 还依赖 agent 先“读取”引用,但代码并未强制运行时检查引用是否已被读取——这是流程/策略要求,而非代码强制。
安装机制
无安装规范(仅指令安装)——该技能随附 Python 脚本,由代理环境执行。此方式合理,但需确保代理运行时具备所需 Python 依赖(requests)。脚本 tbs_client.request_json 禁用 TLS 证书验证(verify=False),对网络调用构成安全风险;这是主要的安装/运行时风险。
凭证需求
该 skill 不会请求额外的环境变量或无关凭据。它仅依赖由 cms-auth-skills 提供的 access-token,用于访问 TBS Admin API。代码通过 CLI 参数/headers 传递 token,而非从环境中读取额外机密,这是合适的做法。
持久化与权限
always:false 与常规自主调用。脚本仅将草稿/持久化文件写入指定路径(draftPath/--params-file),不会尝试修改其他技能或全局代理配置。未请求提升持久化或“always”包含。
安全有层次,运行前请审查代码。

运行时依赖

无特殊依赖

版本

latestv0.5.42026/4/22

初始版本

可疑

安装命令

点击复制
官方npx clawhub@latest install cms-tbs-scene-create
镜像加速npx clawhub@latest install cms-tbs-scene-create --registry https://cn.longxiaskill.com

技能文档

核心定位

本 Skill 只做一件事:根据用户执行意图,读取对应 references/.mdprompts/.json,再执行 scripts/.py。 参数、边界、分支逻辑都以 references 为准,SKILL.md 只负责入口和流程约束。

强制前置(保持不变)

调用任何真实创建脚本前,必须先通过依赖 Skill cms-auth-skills 获取有效 access-token。 未鉴权时,不允许执行 tbs-scene-create.py 及其真实创建链路。 本 Skill 发起的所有 TBS Admin API 请求均基于该 access-token 鉴权。 access-token 的获取与传递方式必须为:由上游 cms-auth-skills 注入/传递到本 Skill 执行命令中(--access-token)。

标准执行流程(必须遵循)

  • 识别用户是“执行动作”还是“纯咨询”。
  • 若是执行动作:先定位目标脚本。
  • 先读取 references/auth.md,确保 access-token--base-url 环境一致(未读不得进入真实创建链路)。
  • 再读取该脚本对应的 references/.md(及本阶段要求的 prompts/.json),未读不得执行。
  • 按文档组装参数并执行 python3 scripts/.py
  • 如一轮调用多个脚本,每个脚本的 reference 都要先读再执行。

用户可见回复约束(必须遵循)

  • 命中执行意图(如“创建TBS场景/建训练场景”)后,首条用户可见回复必须直接进入“阶段 1:基础信息确认”,优先使用 references/tbs-scene-parse.md 固定模板开场。
  • 禁止对用户播报内部动作或思考过程,包括但不限于:
- “你要创建TBS场景,这是执行意图,我进入结构化流程” - “先读取关键参考文档,理清流程再动手” - “我先读 references / prompts 再执行脚本”
  • 读取 references/.mdprompts/.json、执行脚本等动作属于内部编排,只能在系统内部完成,不应作为用户可见话术。
  • 面向用户只输出业务导向内容:确认清单、待补充问题、下一步用户操作(如“请补充/请确认”)。
  • 禁止向用户展示任何中间结构化结果(如基础信息骨架 JSON、payload JSON、脚本原始 stdout/stderr JSON),包括代码块、折叠块或“JSON x lines”形式。

常用命令与必读文档

| 脚本 | 必读 reference | 用途 | |------|----------------|------| | tbs-scene-parse.py | references/tbs-scene-parse.md | 分阶段确认与门禁编排 | | tbs-scene-validate.py | references/tbs-scene-validate.md | 创建前程序校验 | | tbs-scene-create.py | references/tbs-scene-create.md | 用户确认后真实创建 |

补充:

  • 自然语言骨架提取:references/base-info-parse.md + prompts/base-info-parse.model.schema.json
  • 场景正文生成:references/scenario-json-parse.md + prompts/scenario-json-parse.model.schema.json
  • 复杂编排示例:references/agent-patterns.md

测试示例(推荐)

示例 1:先做基础信息分阶段解析

``bash # 第一步:先读 references/base-info-parse.md # 第二步:按 prompts/base-info-parse.model.schema.json 提取骨架并写入 payload.json # 第三步:执行 parse,判断当前阶段 python3 scripts/tbs-scene-parse.py --params-file payload.json `

示例 2:生成后先校验,再发起最终确认

`bash # 第一步:先读 references/tbs-scene-validate.md python3 scripts/tbs-scene-validate.py --params-file draft.json `

示例 3:用户确认创建后真实落库

`bash # 第一步:先读 references/tbs-scene-create.md python3 scripts/tbs-scene-create.py \ --params-file draft.json \ --access-token "" `

反向示例(不要这样做)

  • 未获取 access-token 就直接执行 scripts/tbs-scene-create.py
  • 没读对应 references/.md 就起调脚本。
  • 未经过 tbs-scene-validate.py 就直接进入创建。
  • 用户还没明确回复“确认创建”,就直接调用 /scene/createScene
  • 主数据精确匹配到多条时,擅自猜测业务领域、科室或品种。
  • 用户明确“产品知识暂无 / 不提供资料”后,仍重复追问证据状态或强推知识主题。
  • 基础信息确认阶段私自扩展结构化字段(如“关键决策者/利好背景/场景氛围”)并向用户展示,导致确认清单超出脚本门禁字段。
  • 产品知识与资料确认阶段把问题拆成多轮反复追问(应优先引导用户一次性回复:主题 + 证据状态 + 证据来源)。

错误处理与通用参数

通用错误格式、--params-file 用法、输入文件规则请查看 references/common-params.md

---

目录结构

`text cms-tbs-scene-create/ ├── SKILL.md ├── version.json ├── prompts/ │ ├── base-info-parse.model.schema.json │ ├── scenario-json-parse.model.schema.json │ └── scene.schema.json ├── scripts/ │ ├── tbs_client.py │ ├── tbs_md_sanitize.py │ ├── tbs-scene-parse.py │ ├── tbs-scene-validate.py │ └── tbs-scene-create.py └── references/ ├── auth.md ├── base-info-parse.md ├── tbs-scene-parse.md ├── tbs-scene-validate.md ├── tbs-scene-create.md ├── scenario-json-parse.md ├── common-params.md ├── agent-patterns.md └── maintenance.md ``

数据来源ClawHub ↗ · 中文优化:龙虾技能库