📦 fastfish-format(article-wechat-xhs-format) — fastfish-format — 多渠道文章格式化与美化
v1.0.2用于公众号、小红书文章的格式化与美化,提供30套预设样式、配图编排指引。支持Markdown渲染、样式选择,通过system.run调用CLI,无需MCP。
1· 545·4 当前·4 累计
by 安全扫描
OpenClaw
安全
medium confidence该技能内部一致于其声明的目的(文章格式化/渲染),但依赖克隆和运行第三方GitHub Python项目,引入了供应链风险,如README中所承认的。
评估建议
该技能似乎做了它声称的(格式化和渲染文章),但它依赖克隆和pip安装第三方GitHub仓库。安装/运行前,请:1) 将仓库固定到特定发布标签;2) 审查仓库(至少requirements.txt和setup文件);3) 在隔离环境/容器中运行;4) 将API密钥存储在本地.env中;5) 考虑下载官方发布存档或使用签名发布(如果可用)。...详细分析 ▾
✓ 用途与能力
技能名称/描述与SKILL.md中描述的动作一致:运行Python CLI(ffformat_cli.py)以规范/渲染微信和小红书文本和列表样式。声明的要求仅为python3,与声明的目的成比例。
ℹ 指令范围
SKILL.md 指示代理克隆GitHub仓库并通过system.run运行其Python脚本(ffformat_cli.py),使用JSON参数;它限制执行这些脚本并禁止暴露.env内容。保持在格式化范围内,但运行第三方代码(并推荐pip安装)扩展了信任边界,依赖代理遵循限制性规则。
⚠ 安装机制
注册表中没有自动安装规格;README 指导用户从GitHub仓库克隆和pip安装。克隆 + pip安装可以执行任意代码(setup.py、安装钩子)。SKILL.md 建议固定标签并在隔离环境中运行,但基本安装机制的风险高于仅指令的技能,不需要获取外部代码。
ℹ 凭证需求
该技能不需要环境变量进行核心格式化。它仅在通过单独的baoyu-skills项目集成图像生成时,记录可选API密钥(OPENAI_API_KEY、GOOGLE_API_KEY、DASHSCOPE_API_KEY)。这些可选凭证对于该可选功能是合理的,但与核心文本格式化无关,仅当用户启用图像生成时才应提供。
✓ 持久化与权限
该技能未标记为always:true,不请求系统范围的配置或持久权限。它指示可选安装到工作空间,但不要求提升或始终启用的权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/2/24
fastfish-format v1.0.2 - 样式数量扩展至30套;样式列表按默认优先级排序;补充Bear/MWeb等样式调用示例;安装命令优化;其他细节调整,无核心功能变更。
● 无害
安装命令
点击复制官方npx clawhub@latest install fastfish-format
镜像加速npx clawhub@latest install fastfish-format --registry https://cn.longxiaskill.com
技能文档
fastfish-format 能力说明
GitHub:https://github.com/superxs777/fastfish-format 本 Skill 需配合 fastfish-format 项目使用。请先安装 fastfish-format,再在 OpenClaw 中启用本 Skill。
安装前须知
本 Skill 会指导安装并运行来自 GitHub 的第三方仓库。供应链风险:clone + pip install 会执行外部代码,若仓库被篡改存在风险。安装前请:(1) 检查仓库与 requirements.txt 的依赖;(2) 建议使用 release tag 固定版本(如git clone --branch v0.1.0);(3) 在隔离环境或容器中运行,避免 root;(4) 凭证仅存 .env,勿提交到版本库。...(以下内容与原文相同,未翻译以节省空间)