by 安全扫描
OpenClaw
安全
high confidence该技能仅为一条“YC office hours”诊断指令:仅读取仓库产品文件、运行本地 git 命令并生成报告——其请求的操作与声明目的完全一致。
评估建议
该技能在其目的上显得连贯且风险较低,但在敏感仓库运行前需谨慎:它会读取 README/AGENTS.md 及其他产品文件,并运行本地 git log 收集上下文,然后将报告写入 docs/business/office-hours-report.md。提交或分享前请审阅生成的报告,以防泄露机密或专有信息。若不希望代理读取某些文件,请先在清理过的仓库副本运行诊断,或先移除敏感文件。如需网络隔离操作,请确认代理环境阻止外发上传(该技能本身未声明任何外部端点或凭据)。...详细分析 ▾
✓ 用途与能力
名称/描述(YC 风格创业诊断):严格遵循 SKILL.md 指令——仅索取产品背景,提出六个强制问题,并输出诊断报告;不索取任何无关凭据、二进制文件或外部服务。
ℹ 指令范围
指令要求 agent 读取项目 README/AGENTS.md 或其他产品描述文件,运行 `git log --oneline -20`,与用户交互(一次只问一个问题),并将报告保存到 docs/business/office-hours-report.md。这些操作与诊断托管在仓库中的产品是一致的,但确实涉及读取仓库文件和 git 历史,并向仓库写回文件 —— 用户应知晓仓库内容可能会被检查并包含在生成的报告中。
✓ 安装机制
无安装规范,无代码文件。仅含指令的技能安装风险最低,因为安装步骤不会下载或写入任何内容。
✓ 凭证需求
该技能无需环境变量、凭据或配置文件路径。其本地文件与 Git 访问权限仅限于在代码/仓库上下文中诊断产品的既定目的。
✓ 持久化与权限
始终为 false,且该 skill 可由用户调用。该 skill 会在仓库内写入报告文件(docs/business/office-hours-report.md),但不请求系统级权限,也不修改其他 skill。平台默认允许自主调用,但本 skill 不会因此获得额外权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
YC Office Hours skill v1.0.0 — 首次发布 - 提供 YC 风格的诊断框架,通过六个结构化问题评估创业/产品创意。 - 融合 Garry Tan 的 gstack office-hours 方法,聚焦需求真实性、具体性与假设挑战。 - 引导用户收集背景、按产品阶段定制提问,并提供有效证据的明确标准。 - 输出直接、可执行的反馈及诊断报告,含前提挑战与需求强度评分。 - 适用于创意验证、创业评估及 office hours 式反馈场景。
● 无害
安装命令
点击复制官方npx clawhub@latest install yc-office-hours
镜像加速npx clawhub@latest install yc-office-hours --registry https://cn.longxiaskill.com镜像同步中