← 返回 Skills 市场
99
总下载
0
收藏
1
当前安装
1
版本数
在 OpenClaw 中安装
/install my-first-skill
功能描述
分析招标Excel文件,存储信息到MySQL,支持查询管理、时间跟踪和报告生成的招标项目分析技能。
安全使用建议
要点与建议:
1) 不要直接使用仓库中的 config.json:它包含明文 MySQL root 凭据。安装/运行前,用受限权限的数据库账号并把凭据移到安全位置(环境变量或密钥管理器),不要把密码提交到版本库。
2) 在受控/隔离环境中测试(临时 VM 或容器),避免代码直接访问生产数据库。确保 DB 账号仅有必要的最低权限(只读/写指定表,避免使用 root)。
3) 审核并限制“自定义 SQL”路径:如果打算让代理或非受信用户调用该技能,应移除或限制交互式的任意 SQL 执行入口,或在代理层面禁止自动运行交互式命令。
4) 安装前确认依赖安装流程:package.json 内含 pip 安装建议,但注册表没有正式 install spec,安装时手动执行 pip install pandas mysql-connector-python openpyxl 并校验包来源为官方 PyPI。
5) 检查备份与写入路径:config.json 指向 /var/backup 并启用备份,确保备份路径的权限和磁盘空间符合安全策略,避免覆盖或泄露敏感数据。
6) 若信任来源并打算使用:修改 config.json 中的凭据并重新审计代码(尤其是 import.py / query.py 中对 SQL 的构建/执行),在真实环境使用前运行 test_skill 仅在隔离环境中执行。
总之:功能一致且实现清晰,但在凭据管理与任意 SQL 执行点上存在实际安全风险;在生产环境使用前应收紧凭据、权限与输入验证。
功能分析
Type: OpenClaw Skill
Name: my-first-skill
Version: 1.0.0
The skill bundle provides legitimate bidding project management functionality but contains high-risk features and security vulnerabilities. Specifically, `scripts/query.py` includes a feature for executing arbitrary SQL queries from user input, and `scripts/test_skill.py` uses `subprocess.run` to execute local scripts. Additionally, `config.json` contains a hardcoded default database password ('MySQL@123456'). While these appear to be functional design choices rather than intentional malware, they represent significant attack surfaces for SQL and command injection.
能力评估
Purpose & Capability
名称、描述、SKILL.md 与脚本文件(analyze.py / import.py / query.py)在功能上相互匹配:从 Excel 提取招标信息、写入 MySQL、提供查询和导出等。所需 Python 库(pandas、mysql-connector-python、openpyxl)与实现一致。
Instruction Scope
SKILL.md 的运行说明聚焦于文件解析与数据库操作,但脚本提供交互式查询(包括“自定义 SQL 查询”)和 test_skill.py 会通过 subprocess 运行脚本。交互式/自定义 SQL 意味着执行任意 SQL 语句的能力;如果此技能被代理自动调用或接收不受信任输入,可能会导致对数据库的广泛修改或数据泄露。SKILL.md 没有对自定义 SQL 的限制或安全建议。
Install Mechanism
Registry 元数据显示“无安装规范”,但 package.json 内含 openclaw.install 字段(pip install ...)和依赖列表,SKILL.md/README 提到 pip 安装。虽然 pip/ PyPI 依赖是正常且常见的,但在注册表缺少正式 install spec 的情况下存在不一致,应确认平台如何实际安装依赖。没有发现从未知 URL 下载或执行二进制包的高风险安装步骤。
Credentials
技能声明不需要环境变量或凭据,但仓库包含 config.json,并内置明文数据库凭据 (user: root, password: "MySQL@123456")、备份路径 (/var/backup) 和邮件/Telegram 配置字段。将真实/默认凭据捆绑在代码中不合比例且不安全:如果用户直接使用 repo 提供的 config.json,会暴露数据库凭据并可能授予过大权限。技能不使用外部服务凭据,但包含可触发本地 I/O 与数据库写入的配置。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或平台范围内配置的行为。脚本会在本地创建目录和示例文件(test_skill.py 会在缺失时创建 references 目录),并可能在数据库中创建表/写入数据,这与其功能一致但需要用户确认数据库权限。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install my-first-skill - 安装完成后,直接呼叫该 Skill 的名称或使用
/my-first-skill触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
my-first-skill v1.0.0
- 首次发布招标项目分析与管理技能
- 支持从Excel文件提取招标信息并存入MySQL数据库
- 提供智能查询、时间节点提醒和报告生成功能
- 支持基础导入、查询及统计分析操作
元数据
常见问题
招标项目分析技能 是什么?
分析招标Excel文件,存储信息到MySQL,支持查询管理、时间跟踪和报告生成的招标项目分析技能。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 99 次。
如何安装 招标项目分析技能?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install my-first-skill」即可一键安装,无需额外配置。
招标项目分析技能 是免费的吗?
是的,招标项目分析技能 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
招标项目分析技能 支持哪些平台?
招标项目分析技能 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 招标项目分析技能?
由 zwh0709(@zwh0709)开发并维护,当前版本 v1.0.0。
推荐 Skills