← Back to Skills Marketplace
99
Downloads
0
Stars
1
Active Installs
1
Versions
Install in OpenClaw
/install my-first-skill
Description
分析招标Excel文件,存储信息到MySQL,支持查询管理、时间跟踪和报告生成的招标项目分析技能。
Usage Guidance
要点与建议:
1) 不要直接使用仓库中的 config.json:它包含明文 MySQL root 凭据。安装/运行前,用受限权限的数据库账号并把凭据移到安全位置(环境变量或密钥管理器),不要把密码提交到版本库。
2) 在受控/隔离环境中测试(临时 VM 或容器),避免代码直接访问生产数据库。确保 DB 账号仅有必要的最低权限(只读/写指定表,避免使用 root)。
3) 审核并限制“自定义 SQL”路径:如果打算让代理或非受信用户调用该技能,应移除或限制交互式的任意 SQL 执行入口,或在代理层面禁止自动运行交互式命令。
4) 安装前确认依赖安装流程:package.json 内含 pip 安装建议,但注册表没有正式 install spec,安装时手动执行 pip install pandas mysql-connector-python openpyxl 并校验包来源为官方 PyPI。
5) 检查备份与写入路径:config.json 指向 /var/backup 并启用备份,确保备份路径的权限和磁盘空间符合安全策略,避免覆盖或泄露敏感数据。
6) 若信任来源并打算使用:修改 config.json 中的凭据并重新审计代码(尤其是 import.py / query.py 中对 SQL 的构建/执行),在真实环境使用前运行 test_skill 仅在隔离环境中执行。
总之:功能一致且实现清晰,但在凭据管理与任意 SQL 执行点上存在实际安全风险;在生产环境使用前应收紧凭据、权限与输入验证。
Capability Analysis
Type: OpenClaw Skill
Name: my-first-skill
Version: 1.0.0
The skill bundle provides legitimate bidding project management functionality but contains high-risk features and security vulnerabilities. Specifically, `scripts/query.py` includes a feature for executing arbitrary SQL queries from user input, and `scripts/test_skill.py` uses `subprocess.run` to execute local scripts. Additionally, `config.json` contains a hardcoded default database password ('MySQL@123456'). While these appear to be functional design choices rather than intentional malware, they represent significant attack surfaces for SQL and command injection.
Capability Assessment
Purpose & Capability
名称、描述、SKILL.md 与脚本文件(analyze.py / import.py / query.py)在功能上相互匹配:从 Excel 提取招标信息、写入 MySQL、提供查询和导出等。所需 Python 库(pandas、mysql-connector-python、openpyxl)与实现一致。
Instruction Scope
SKILL.md 的运行说明聚焦于文件解析与数据库操作,但脚本提供交互式查询(包括“自定义 SQL 查询”)和 test_skill.py 会通过 subprocess 运行脚本。交互式/自定义 SQL 意味着执行任意 SQL 语句的能力;如果此技能被代理自动调用或接收不受信任输入,可能会导致对数据库的广泛修改或数据泄露。SKILL.md 没有对自定义 SQL 的限制或安全建议。
Install Mechanism
Registry 元数据显示“无安装规范”,但 package.json 内含 openclaw.install 字段(pip install ...)和依赖列表,SKILL.md/README 提到 pip 安装。虽然 pip/ PyPI 依赖是正常且常见的,但在注册表缺少正式 install spec 的情况下存在不一致,应确认平台如何实际安装依赖。没有发现从未知 URL 下载或执行二进制包的高风险安装步骤。
Credentials
技能声明不需要环境变量或凭据,但仓库包含 config.json,并内置明文数据库凭据 (user: root, password: "MySQL@123456")、备份路径 (/var/backup) 和邮件/Telegram 配置字段。将真实/默认凭据捆绑在代码中不合比例且不安全:如果用户直接使用 repo 提供的 config.json,会暴露数据库凭据并可能授予过大权限。技能不使用外部服务凭据,但包含可触发本地 I/O 与数据库写入的配置。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或平台范围内配置的行为。脚本会在本地创建目录和示例文件(test_skill.py 会在缺失时创建 references 目录),并可能在数据库中创建表/写入数据,这与其功能一致但需要用户确认数据库权限。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install my-first-skill - After installation, invoke the skill by name or use
/my-first-skill - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
my-first-skill v1.0.0
- 首次发布招标项目分析与管理技能
- 支持从Excel文件提取招标信息并存入MySQL数据库
- 提供智能查询、时间节点提醒和报告生成功能
- 支持基础导入、查询及统计分析操作
Metadata
Frequently Asked Questions
What is 招标项目分析技能?
分析招标Excel文件,存储信息到MySQL,支持查询管理、时间跟踪和报告生成的招标项目分析技能。 It is an AI Agent Skill for Claude Code / OpenClaw, with 99 downloads so far.
How do I install 招标项目分析技能?
Run "/install my-first-skill" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is 招标项目分析技能 free?
Yes, 招标项目分析技能 is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does 招标项目分析技能 support?
招标项目分析技能 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created 招标项目分析技能?
It is built and maintained by zwh0709 (@zwh0709); the current version is v1.0.0.
More Skills