← Back to Skills Marketplace

个人知识库

Name: 个人知识库
Author: nancyzhong2024

by nancyzhong2024 · GitHub ↗ · v1.0.0 · MIT-0

cross-platform ⚠ suspicious

289

Downloads

Stars

Active Installs

Versions

Install in OpenClaw

/install personal-knowledge-base

Description

管理个人知识库，基于RAG和文本向量化技术，支持文件的保存、向量化、检索、问答、删除等功能

Usage Guidance

该技能实现了个人知识库的常见功能，但存在若干值得注意的点： - 元数据/清单没有声明它实际需要的 ZHIPUAI_API_KEY 环境变量（但 SKILL.md 与代码会读取该变量）。在安装前确认你是否愿意提供第三方 API Key。\ - 如果提供 API Key，文档内容会被发送到智谱（ZhipuAI）以生成嵌入和/或调用 LLM，这会将你的知识库内容传输至外部服务。评估隐私与合规要求，避免上传敏感数据或使用受信任的私有部署。\ - SKILL.md 建议可把密钥放在 config.txt（明文）作为备选；不要把密钥保存在文件中，优先使用环境变量并仅在受信环境中运行。\ - 技能会在本地创建/复制/删除文件（默认 workspace_root 指向作者机器路径）。在运行前确认 workspace_root 配置为你期望的位置，且备份重要文件以免被误删。\ - 代码依赖多个 Python 包（faiss-cpu、langchain、zhipuai 等）。在受控的虚拟环境或容器中安装并测试技能，而不是在生产主机直接运行。\ - 如果你需要更高信心：审阅完整的 scripts/knowledge_base_manager.py 源码（已包含在包中），确认没有隐藏的网络回呼、未记录的远程端点或将凭据写出到外部位置。若不能审阅，建议把技能在隔离环境中运行或拒绝提供 API 密钥。

Capability Analysis

Type: OpenClaw Skill Name: personal-knowledge-base Version: 1.0.0 The skill bundle implements a functional RAG (Retrieval-Augmented Generation) system using FAISS and ZhipuAI, but contains significant security vulnerabilities. Specifically, 'scripts/knowledge_base_manager.py' uses the 'pickle' module for data persistence of vector metadata and indices, which is susceptible to Remote Code Execution (RCE) if the storage files are tampered with. Furthermore, the script handles file operations and directory creation based on user-supplied knowledge base names without robust path sanitization, creating a potential path traversal risk. While these appear to be unintentional architectural flaws rather than intentional malice, the combination of insecure deserialization and broad file system access warrants a suspicious classification.

Capability Assessment

ℹ Purpose & Capability

技能名/描述为个人知识库管理，代码和说明实现了创建、导入、向量化、检索等功能，整体与目的相符。唯一的不一致是注册元数据声明“不需要任何环境变量”，但 SKILL.md 与代码明确使用并优先查找 ZHIPUAI_API_KEY（用于嵌入和LLM）。

⚠ Instruction Scope

SKILL.md 和代码指示对本地文件系统进行创建/复制/删除操作（workspace_root 下的知识库、sourcefiles、vectordb 等），这是功能所需但需要用户知情与批准。指令还建议将 API key 放入环境变量或 config.txt；SKILL.md 会将文档内容发送到第三方 ZhipuAI 服务以做向量化/生成，且指令允许存储敏感信息到 config.txt（虽然有提醒但仍提供该选项）。同时说明/代码访问了未在注册表声明的环境变量（ZHIPUAI_API_KEY），这是范围之外的元数据不一致。

✓ Install Mechanism

无安装规范（instruction-only + 附带 Python 源码），没有从不可信 URL 下载或自动安装二进制的行为。风险主要来自运行时代码和后续 pip 依赖安装，但没有高风险的安装渠道声明。

⚠ Credentials

registry 中未声明任何必需环境变量或主要凭证，但代码/文档显式依赖 ZHIPUAI_API_KEY（用于嵌入与LLM）。这不一致降低可见性：用户界面/市场未提示需要提供第三方 API 密钥。技能还会尝试加载 zhipuai SDK 并将文本发送到外部 API——如果提供 API key，则用户的文件内容可能被外发。技能提供在 config.txt 中保存密钥的备选方式（明文），这会增加凭据泄露风险。

✓ Persistence & Privilege

技能未声明 always:true，且不请求修改其他技能或系统范围配置。其权限主要是常规的文件读写和调用外部 API —— 与其功能相称，但仍需用户确认。

How to Use

Make sure OpenClaw is installed (local or Docker)
Run the install command in chat: /install personal-knowledge-base
After installation, invoke the skill by name or use /personal-knowledge-base
Provide required inputs per the skill's parameter spec and get structured output

Version History

v1.0.0

初始版本

Metadata

Slug personal-knowledge-base

Version 1.0.0

License MIT-0

All-time Installs 2

Active Installs 2

Total Versions 1

Frequently Asked Questions

What is 个人知识库?

管理个人知识库，基于RAG和文本向量化技术，支持文件的保存、向量化、检索、问答、删除等功能. It is an AI Agent Skill for Claude Code / OpenClaw, with 289 downloads so far.

How do I install 个人知识库?

Run "/install personal-knowledge-base" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.

Is 个人知识库 free?

Yes, 个人知识库 is completely free, licensed under MIT-0. You can download, install and use it at no cost.

Which platforms does 个人知识库 support?

个人知识库 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).

Who created 个人知识库?

It is built and maintained by nancyzhong2024 (@nancyzhong2024); the current version is v1.0.0.

More Skills