by 安全扫描
OpenClaw
可疑
high confidence该技能基本实现了其描述的功能(读取本地JSON学生成绩文件并回答查询),但其声明需要的ffmpeg二进制文件和一些元数据不一致与描述的用途不符,且无法解释。
评估建议
该技能的代码实现了从捆绑的JSON文件中简单本地查询学生成绩,不请求密钥或网络访问,风险较低。然而,SKILL.md/README声明ffmpeg为必需二进制文件,即使代码从未使用它——在安装或运行前请询问作者为何需要ffmpeg。建议操作:(1) 自己检查包含的文件(index.js和database/scores.json)——它们简短易读。(2) 如果要运行该技能,在沙箱/容器中运行,如果无法确认ffmpeg要求。(3) 向发布者请求澄清或更正的元数据/清单(如果不需要则移除ffmpeg)。(4) 注意元数据/版本不一致(package.json vs模块元数据)作为草率打包的指标;在信任之前优先选择文档完善的源或仓库。...详细分析 ▾
⚠ 用途与能力
该技能的名称/描述和代码使用捆绑的JSON文件实现本地学生成绩查询——代码或README中没有任何内容需要ffmpeg。然而,SKILL.md/README元数据声明了必需的二进制文件:ffmpeg。要求ffmpeg与分数查询技能无关,且不成比例/无法解释。
✓ 指令范围
SKILL.md指令最少,运行时代码行为清晰:解析输入,读取本地数据库(database/scores.json),并返回分数。指令/代码不引用其他系统文件、环境变量、网络端点或数据泄露。
ℹ 安装机制
没有安装规范(仅指令),限制了安装风险。但是,程序包包含代码文件(index.js和database JSON)。未声明安装时下载或提取操作。风险较低,但代码的存在意味着用户仍应在运行前检查。
✓ 凭证需求
该技能不请求环境变量、凭证和配置路径。这与所声明的用途相称。唯一的奇怪之处是元数据中声明的所需二进制文件(ffmpeg),尽管代码中没有使用它;这不涉及密钥,但这是无法解释的外部依赖。
✓ 持久化与权限
该技能不请求持久/常驻存在(always为false),不修改其他技能或系统范围的设置,仅读取自己的捆绑JSON文件。不请求提升的权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.22026/4/16
- 更新至版本0.0.2。- 添加了包含描述、表情符号和所需依赖项(ffmpeg)的元数据部分。- 功能或查询模式没有变化。- 使用OpenClaw元数据改进了SKILL.md格式。
● Pending
安装命令
点击复制官方npx clawhub@latest install score-query
镜像加速npx clawhub@latest install score-query --registry https://cn.longxiaskill.com镜像同步中
技能文档
技能概述
- 技能名称: 学分查询
- 技能版本: 0.0.2
- 技能描述: 用于查询学生各科目成绩的OpenClaw技能
- 作者: bc96
功能列表
| 功能 | 说明 |
|---|---|
| 查询单科成绩 | 根据姓名和科目查询特定成绩 |
| 查询全部成绩 | 查询某学生的所有科目成绩 |
| 科目名称转换 | 支持口语化转标准科目名 |
支持的查询模式
单科成绩查询
请严格按照系统提示词中的输出格式要求,返回 JSON 对象。