← 返回 Skills 市场
116
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install research-paper-portal
功能描述
为研究人员创建个性化学术论文导航网站。根据用户的研究领域,自动收集最新论文、生成AI背景图、发布到网站。触发词:创建论文导航网站、学术门户、研究论文网站、论文聚合站、论文导航页。
安全使用建议
要点与建议:
- 环境与配置:技能文档要求 OPENALEX_EMAIL、COMFYUI_URL、LLM 资源等,但 manifest 没有声明这些变量;在安装前准备好这些配置,并在安全的网络/主机上运行 ComfyUI(最好在内网或受信环境)。
- 命令执行风险:update-papers.py 用 subprocess.run(..., shell=True) 调用 LLM CLI,若你将 llm_command 指向不受信的程序或通过配置注入,可能被利用执行任意命令。将 llm_command 固定为可信二进制或改用参数化调用(避免 shell=True)更安全。
- 文件与文档不一致:文档引用的 convert-images.py、admin.html 未在包中找到;arXiv 搜索函数实现不完整。不要在生产站点直接部署——先在隔离环境/容器中测试并补齐或修复缺失/有缺陷部分。
- 网络与隐私:脚本会向 OpenAlex、arXiv、ComfyUI 发起请求;确认这些端点符合你的隐私/合规要求,并限制对公共模型或第三方 API 的敏感凭据暴露(例如 Claude API key)。
- 运行建议:先在本地/VM 中手动审阅并运行脚本,检查生成的文件路径与权限;将 ComfyUI 部署在受控机器(非公网可写地址);如果不熟悉代码,考虑请求开发者提供改进后的版本(去掉 shell=True、统一从 config/env 读取 COMFYUI_URL、修复 arXiv 解析、补充缺失文件)。
如果你希望,我可以列出具体代码行的改进建议(例如如何安全地替换 subprocess 调用、如何统一读取环境配置、以及需要补充或修复的文件清单)。
功能分析
Type: OpenClaw Skill
Name: research-paper-portal
Version: 1.0.0
The skill bundle contains a significant shell injection vulnerability in 'scripts/update-papers.py'. The script uses 'subprocess.run' with 'shell=True' to execute an LLM command, incorporating paper titles and abstracts fetched from external APIs (OpenAlex and arXiv) directly into the shell string. This could allow for Remote Code Execution (RCE) if a processed paper contains malicious characters. While this is a critical security flaw, there is no clear evidence of intentional malice, data exfiltration, or hidden backdoors; the overall functionality aligns with the stated purpose of creating a research paper portal.
能力评估
Purpose & Capability
技能名与描述(构建论文导航站、抓取论文、生成背景图并发布)与大部分脚本功能一致:有论文抓取、图片生成和发布脚本。但文档中列出的某些资源/文件(如 admin.html、convert-images.py)在清单中缺失,且 README/CONFIG 建议的环境变量(OPENALEX_EMAIL、COMFYUI_URL、LLM 凭据等)没有在注册元数据中声明为必需,造成能力需求与声明不完全一致。
Instruction Scope
SKILL.md 指示配置 Web 服务器、部署模板、设置定时任务等,这些都是合理范围。但脚本会读取/写入站点 JSON(paper-index.json、pending-papers.json)并向外部 API(OpenAlex、arXiv、ComfyUI)发起请求——这是预期内。值得注意的偏离:update-papers.py 使用 subprocess.run(..., shell=True) 调用 LLM CLI(潜在的命令注入风险,尤其当 llm_command 可被配置或包含不受信任内容时);generate-bg.py/other 文档暗示使用环境变量 COMFYUI_URL,但脚本使用硬编码常量或未统一读取配置;arXiv 搜索函数在代码中未解析响应(功能不完整)。
Install Mechanism
无安装规范(instruction-only + 附带脚本),不会自动下载或执行远程二进制,风险较低。所有代码都在包内,未见远程 extract/download install 步骤。
Credentials
SKILL.md 和 references 提到 OPENALEX_EMAIL、COMFYUI_URL、LLM 提示/命令及可能的 API 密钥(Gemini/Claude)——这些是实现功能可能需要的,但 manifest 没有声明任何 required env/primary credential。缺少声明让用户难以评估凭据范围与权限。此外,脚本默认使用本地 gemini CLI,也允许外部 LLM 命令,若误配置可能泄露敏感凭据或允许命令注入。
Persistence & Privilege
技能没有 always:true,也不要求修改其他技能或系统级配置。文档建议手动添加 crontab,这属于部署行为而非技能自动化权限。脚本会在站点目录写入 JSON/image/version 文件——这是站点功能所需且合理。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install research-paper-portal - 安装完成后,直接呼叫该 Skill 的名称或使用
/research-paper-portal触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
Initial release
元数据
常见问题
Research Paper Portal 是什么?
为研究人员创建个性化学术论文导航网站。根据用户的研究领域,自动收集最新论文、生成AI背景图、发布到网站。触发词:创建论文导航网站、学术门户、研究论文网站、论文聚合站、论文导航页。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 116 次。
如何安装 Research Paper Portal?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install research-paper-portal」即可一键安装,无需额外配置。
Research Paper Portal 是免费的吗?
是的,Research Paper Portal 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
Research Paper Portal 支持哪些平台?
Research Paper Portal 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 Research Paper Portal?
由 JiaxiLiao(@jiaxiliao)开发并维护,当前版本 v1.0.0。
推荐 Skills