by 安全扫描
OpenClaw
安全
high confidence该技能的文件、指令和运行时行为与离线金融计算器和交互式 Web UI 一致,没有明显或不当的请求或安装。
评估建议
该包似乎是一个直观的金融计算器,具有小型 Python 代码库和 Flask Web UI。运行前:1) 在隔离环境(VM 或容器)中审查或运行代码,因为 launch_ui.sh 将创建虚拟环境并从 PyPI 安装 Flask。2) 注意 web_ui.py 中 Web 服务器绑定到 0.0.0.0,这使得 UI 可从网络上的其他主机访问 — 如果您希望仅限本地主机访问,请更改为 127.0.0.1。3) 前端从 jsDelivr CDN 加载 Chart.js(客户端网络请求)。如果需要隔离操作,请删除 CDN 使用并预先捆绑依赖项。4) 如果计划让代理自主调用此技能,请注意它将运行本地 Python 代码并可能启动本地 Web 服务器;这是预期行为,但应在可信任的环境中运行。总体而言,文件与声明的功能一致,没有发现不当的权限或隐藏的网络端点。...详细分析 ▾
✓ 用途与能力
名称/描述与代码和资产匹配:计算引擎(calculate.py)、Flask 基的 Web UI(web_ui.py + 资产)、CLI 使用和表格生成。声明的用途不需要任何无关的凭据、二进制文件或外部服务。
✓ 指令范围
SKILL.md 只指示运行 CLI 或启动 Web UI;运行时指令创建 venv,并按需安装 Flask,然后提供本地 UI。没有指令读取无关文件、导出凭据或调用超出 Chart.js 客户端 CDN 和正常 pip/CDN 下载的外部端点。
ℹ 安装机制
没有注册表安装规格(仅指令),但 launch_ui.sh 将创建本地 venv 并运行 'pip install flask'(从 PyPI 下载)。Web UI 从 jsdelivr CDN 引用 Chart.js。这是典型的,但涉及运行时网络下载 — 没有未知/个人 URL 或存档提取。
✓ 凭证需求
该技能不声明或读取任何环境变量、凭据或配置路径。代码不访问秘密或无关的系统配置。
✓ 持久化与权限
always:false,并且没有修改其他技能或系统范围的代理设置。唯一的持久变化是创建本地 'venv' 目录并在其中安装 Flask(包含在技能目录中)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/5
初始发布:未来值、现值、折扣、加价和复利计算器,带有交互式图表、表格和年/月支持。包括 CLI 和漂亮的 Web UI。
● 无害
安装命令
点击复制官方npx clawhub@latest install financial-calculator
镜像加速npx clawhub@latest install financial-calculator --registry https://cn.longxiaskill.com
技能文档
高级金融计算器,包括未来值、现值、折扣/加价定价、复利和比较表。支持 CLI 和交互式 Web UI。详见 SKILL.md 中文翻译...