← Back to Skills Marketplace
116
Downloads
0
Stars
0
Active Installs
1
Versions
Install in OpenClaw
/install research-paper-portal
Description
为研究人员创建个性化学术论文导航网站。根据用户的研究领域,自动收集最新论文、生成AI背景图、发布到网站。触发词:创建论文导航网站、学术门户、研究论文网站、论文聚合站、论文导航页。
Usage Guidance
要点与建议:
- 环境与配置:技能文档要求 OPENALEX_EMAIL、COMFYUI_URL、LLM 资源等,但 manifest 没有声明这些变量;在安装前准备好这些配置,并在安全的网络/主机上运行 ComfyUI(最好在内网或受信环境)。
- 命令执行风险:update-papers.py 用 subprocess.run(..., shell=True) 调用 LLM CLI,若你将 llm_command 指向不受信的程序或通过配置注入,可能被利用执行任意命令。将 llm_command 固定为可信二进制或改用参数化调用(避免 shell=True)更安全。
- 文件与文档不一致:文档引用的 convert-images.py、admin.html 未在包中找到;arXiv 搜索函数实现不完整。不要在生产站点直接部署——先在隔离环境/容器中测试并补齐或修复缺失/有缺陷部分。
- 网络与隐私:脚本会向 OpenAlex、arXiv、ComfyUI 发起请求;确认这些端点符合你的隐私/合规要求,并限制对公共模型或第三方 API 的敏感凭据暴露(例如 Claude API key)。
- 运行建议:先在本地/VM 中手动审阅并运行脚本,检查生成的文件路径与权限;将 ComfyUI 部署在受控机器(非公网可写地址);如果不熟悉代码,考虑请求开发者提供改进后的版本(去掉 shell=True、统一从 config/env 读取 COMFYUI_URL、修复 arXiv 解析、补充缺失文件)。
如果你希望,我可以列出具体代码行的改进建议(例如如何安全地替换 subprocess 调用、如何统一读取环境配置、以及需要补充或修复的文件清单)。
Capability Analysis
Type: OpenClaw Skill
Name: research-paper-portal
Version: 1.0.0
The skill bundle contains a significant shell injection vulnerability in 'scripts/update-papers.py'. The script uses 'subprocess.run' with 'shell=True' to execute an LLM command, incorporating paper titles and abstracts fetched from external APIs (OpenAlex and arXiv) directly into the shell string. This could allow for Remote Code Execution (RCE) if a processed paper contains malicious characters. While this is a critical security flaw, there is no clear evidence of intentional malice, data exfiltration, or hidden backdoors; the overall functionality aligns with the stated purpose of creating a research paper portal.
Capability Assessment
Purpose & Capability
技能名与描述(构建论文导航站、抓取论文、生成背景图并发布)与大部分脚本功能一致:有论文抓取、图片生成和发布脚本。但文档中列出的某些资源/文件(如 admin.html、convert-images.py)在清单中缺失,且 README/CONFIG 建议的环境变量(OPENALEX_EMAIL、COMFYUI_URL、LLM 凭据等)没有在注册元数据中声明为必需,造成能力需求与声明不完全一致。
Instruction Scope
SKILL.md 指示配置 Web 服务器、部署模板、设置定时任务等,这些都是合理范围。但脚本会读取/写入站点 JSON(paper-index.json、pending-papers.json)并向外部 API(OpenAlex、arXiv、ComfyUI)发起请求——这是预期内。值得注意的偏离:update-papers.py 使用 subprocess.run(..., shell=True) 调用 LLM CLI(潜在的命令注入风险,尤其当 llm_command 可被配置或包含不受信任内容时);generate-bg.py/other 文档暗示使用环境变量 COMFYUI_URL,但脚本使用硬编码常量或未统一读取配置;arXiv 搜索函数在代码中未解析响应(功能不完整)。
Install Mechanism
无安装规范(instruction-only + 附带脚本),不会自动下载或执行远程二进制,风险较低。所有代码都在包内,未见远程 extract/download install 步骤。
Credentials
SKILL.md 和 references 提到 OPENALEX_EMAIL、COMFYUI_URL、LLM 提示/命令及可能的 API 密钥(Gemini/Claude)——这些是实现功能可能需要的,但 manifest 没有声明任何 required env/primary credential。缺少声明让用户难以评估凭据范围与权限。此外,脚本默认使用本地 gemini CLI,也允许外部 LLM 命令,若误配置可能泄露敏感凭据或允许命令注入。
Persistence & Privilege
技能没有 always:true,也不要求修改其他技能或系统级配置。文档建议手动添加 crontab,这属于部署行为而非技能自动化权限。脚本会在站点目录写入 JSON/image/version 文件——这是站点功能所需且合理。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install research-paper-portal - After installation, invoke the skill by name or use
/research-paper-portal - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
Initial release
Metadata
Frequently Asked Questions
What is Research Paper Portal?
为研究人员创建个性化学术论文导航网站。根据用户的研究领域,自动收集最新论文、生成AI背景图、发布到网站。触发词:创建论文导航网站、学术门户、研究论文网站、论文聚合站、论文导航页。 It is an AI Agent Skill for Claude Code / OpenClaw, with 116 downloads so far.
How do I install Research Paper Portal?
Run "/install research-paper-portal" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is Research Paper Portal free?
Yes, Research Paper Portal is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does Research Paper Portal support?
Research Paper Portal is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created Research Paper Portal?
It is built and maintained by JiaxiLiao (@jiaxiliao); the current version is v1.0.0.
More Skills