安全扫描
OpenClaw
可疑
medium confidence该技能与其声明的目的保持一致,但每次运行时会从外部 GitHub URL 获取实时规则 — 这些外部内容可能会改变,从而改变代理行为,这是一个值得注意的风险。
评估建议
该技能逻辑上一致,适用于审查 UI 文件,但每次运行时会从 raw GitHub URL 获取实时规则 — 该远程文件可能会被修改以改变代理行为。安装或使用前:(1) 验证和信任源 URL;考虑将其固定到特定提交(或提供本地指南)而不是获取移动目标;(2) 在运行审查之前检查获取的指南,以确保它们不会指示意外的网络调用或敏感操作;(3) 避免提供指向敏感系统文件或凭据的模式 — 只提供项目 UI 文件进行审查;并且 (4) 如果需要更高的保证,请要求维护者将指南包含在技能包中或为远程文件提供已验证的校验和。...详细分析 ▾
✓ 用途与能力
名称、描述和运行时指令保持一致:该技能根据一套指南审查 UI 代码,并要求用户提供文件/模式进行检查。没有不相关的凭据、二进制文件或安装步骤被请求。
ℹ 指令范围
运行时指令在每次审查之前要求从 https://raw.githubusercontent.com/vercel-labs/web-interface-guidelines/main/command.md 获取指南,然后读取用户指定的文件。获取和遵循外部托管的实时内容可以随时改变代理的行为;否则,指令保持在声明的范围内(读取提供的文件、应用规则、输出文件:行号 findings)。
✓ 安装机制
没有安装规格和代码文件 — 只是指令技能,因此该技能本身不会将任何内容写入磁盘。低安装风险。
✓ 凭证需求
该技能声明没有环境变量、没有凭据和没有配置路径。它不请求访问不相关的服务或秘密。
✓ 持久化与权限
always 为 false 且模型调用已启用(默认)。该技能不请求持久的系统范围更改或特权存在。
安装前注意事项
- 验证和信任源 URL;考虑将其固定到特定提交(或提供本地指南)而不是获取移动目标。
- 在运行审查之前检查获取的指南,以确保它们不会指示意外的网络调用或敏感操作。
- 避免提供指向敏感系统文件或凭据的模式 — 只提供项目 UI 文件进行审查。
- 如果需要更高的保证,请要求维护者将指南包含在技能包中或为远程文件提供已验证的校验和。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/25
● 可疑
安装命令 点击复制
官方npx clawhub@latest install timeflow-web-design-guidelines
镜像加速npx clawhub@latest install timeflow-web-design-guidelines --registry https://cn.clawhub-mirror.com
技能文档
网页设计指南审查
审查文件以确保符合网页设计指南。
如何工作
- 从以下源 URL 获取最新指南
- 读取指定文件(或提示用户提供文件/模式)
- 检查所有规则与获取的指南
- 以紧凑的
文件:行号格式输出 findings
指南源
在每次审查之前获取最新指南: ``https://raw.githubusercontent.com/vercel-labs/web-interface-guidelines/main/command.md``
使用 WebFetch 检索最新规则。获取的内容包含所有规则和输出格式指令。使用方法
当用户提供文件或模式参数时:- 从上述源 URL 获取指南
- 读取指定文件
- 应用获取的指南中的所有规则
- 使用指南中指定的格式输出 findings
如果没有指定文件,询问用户哪些文件需要审查。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制