← 返回 Skills 市场

Dify 8D分析助手

Name: Dify 8D分析助手
Author: langwang1pm

作者 langwang1pm · GitHub ↗ · v1.0.1 · MIT-0

cross-platform ⚠ suspicious

总下载

当前安装

版本数

在 OpenClaw 中安装

/install dify-8d-analyzer

功能描述

当用户问题以「调用 8D 报告分析助手」开头时，调用 Dify API 进行 8D 问题分析

使用说明 (SKILL.md)

8D 报告分析助手

当用户发送以「调用 8D 报告分析助手」开头的消息时，自动调用 Dify API 进行分析。

触发条件

用户消息以 调用 8D 报告分析助手 开头
例如：调用 8D 报告分析助手，帮我分析最近三个月的问题分布

执行步骤

提取问题：去掉前缀 调用 8D 报告分析助手，保留后面的实际问题内容
获取用户 ID：从当前消息上下文的 sender_id 获取用户 open_id
调用脚本：使用 background 模式执行命令
```
timeout 180 /home/gem/workspace/agent/scripts/dify_router.sh "用户完整消息（含前缀）" "用户open_id"
```
注意：使用 exec 工具时设置 background: true 或 yieldMs: 180000，让 OpenClaw 自动等待完整执行
返回结果：将脚本输出（stdout）作为回复发送给用户

重要配置

exec 执行超时设置：

timeout: 180 秒（确保 Dify 有足够时间处理）
yieldMs: 180000（让 OpenClaw 等待 3 分钟再自动后台化）

示例

用户发送：

调用 8D 报告分析助手，帮我分析最近三个月反馈最多的问题分布

处理：

提取问题：帮我分析最近三个月反馈最多的问题分布
获取用户 ID：ou_7e872e790d6c2b4c3cd363ccf6a70d98
执行：exec(command: "timeout 180 /home/gem/workspace/agent/scripts/dify_router.sh ...", timeout: 180, yieldMs: 180000)
返回：Dify 的分析结果

注意事项

Dify 可能需要 30-120 秒处理复杂分析，请耐心等待
如果脚本返回错误（如 ERROR: 开头），将错误信息告知用户
脚本会维护多轮对话会话，无需用户重复提供上下文

安全使用建议

该技能的描述与实际行为不一致：它声称调用 Dify API，但实际上委托一个本地脚本（/home/gem/.../dify_router.sh）去做这件事，而技能包没有提供该脚本、也未声明任何 API 凭据。安装前请要求技能提供：1) dify_router.sh 的完整源代码和维护者说明；2) 明确说明 Dify API 凭据的存放位置与访问方式（应以环境变量声明并仅限于脚本使用）；3) 解释为何需要传递用户 open_id，并确认是否有最小化或脱敏方案；4) 若可能，要求将对 Dify 的调用改为技能内明确的、受控的网络请求并在 manifest 中声明所需 env（例如 DIFY_API_KEY），而不是依赖宿主上的绝对路径脚本。在未能验证脚本来源与行为前，避免启用或授权该技能运行 exec/background 命令；如果必须运行，请在隔离环境（受控容器）中审计并限制脚本权限。

功能分析

Type: OpenClaw Skill Name: dify-8d-analyzer Version: 1.0.1 The skill is highly vulnerable to command injection because SKILL.md instructs the agent to pass unsanitized user input directly into a shell command execution of a local script (/home/gem/workspace/agent/scripts/dify_router.sh). While the stated purpose of integrating with the Dify API for 8D report analysis is plausible, the lack of input validation and the reliance on a hardcoded local path pose a significant security risk, though there is no explicit evidence of intentional malice.

能力评估

⚠ Purpose & Capability

技能描述说“调用 Dify API 进行 8D 问题分析”，但运行步骤并不直接调用 Dify API，而是执行一个位于 /home/gem/workspace/agent/scripts/dify_router.sh 的本地脚本；SKILL.md metadata 要求 bins（timeout, curl, jq），但注册元数据声称无必需二进制，二者不一致。调用远端 API 通常需要声明 API 密钥或凭证，但此技能未声明任何环境变量或主凭据，导致用途与所需权限/输入不匹配。

⚠ Instruction Scope

运行指令要求从消息上下文读取 sender_id（用户 open_id）并将“用户完整消息（含前缀）”与 open_id 一并传给本地脚本；脚本路径为绝对路径，位于宿主文件系统的用户工作区而不是技能包内，脚本的行为对技能外不可见。以 stdout 原样返回脚本输出、并在后台执行（background/yieldMs）会把任意脚本输出发回用户且可能把敏感信息或凭据泄露给外部服务。没有输入校验、无须提供/声明脚本内容或网络交互目标。

ℹ Install Mechanism

该技能为 instruction-only、无安装规范，因此不会在安装时写入或下载代码（这降低了安装阶段的风险）。不过在运行时会调用宿主上的本地脚本，这意味着风险在运行时而非安装时暴露——需要验证该脚本的来源与实现。

⚠ Credentials

技能未声明任何环境变量或凭据（primary credential: none），但其目标是调用 Dify API——通常需要 API key/secret；缺失凭据声明不合常理。技能会传递用户 open_id 和完整消息到本地脚本，这会将用户标识与可能的敏感对话内容暴露给脚本和脚本后端。SKILL.md 中列出的必需二进制（timeout/curl/jq）合理用于网络请求，但没有进一步说明谁保管 Dify 凭据或凭据如何安全使用，比例不当且不透明。

ℹ Persistence & Privilege

技能没有设置 always:true，也不会自动长期驻留配置中，权限等级在这方面正常。但允许执行任意本地脚本（绝对路径）并在后台运行具有很高的运行时特权：脚本可以访问文件系统、网络和凭据，产生广泛影响。建议将此视为高风险运行时权限，需限制与审查。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install dify-8d-analyzer
安装完成后，直接呼叫该 Skill 的名称或使用 /dify-8d-analyzer 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.0.1

优化超时处理，添加 yieldMs 配置说明

v1.0.0

初始版本，支持通过前缀「调用 8D 报告分析助手」调用 Dify API 进行问题分析

元数据

Slug dify-8d-analyzer

版本 1.0.1

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 2

常见问题