← 返回 Skills 市场

WPS Word Document

Name: WPS Word Document
Author: xixihaha123123123123

作者 xixihaha123123123123 · GitHub ↗ · v1.0.0 · MIT-0

cross-platform ⚠ suspicious

总下载

当前安装

版本数

在 OpenClaw 中安装

/install wps-docx

功能描述

创建或编辑 Word (.docx) 文档。当用户要求生成、导出、下载 Word 文档，或对现有 .docx 编辑时使用本技能。当最终交付物是"文档"且用户未指定格式时（如"生成文档"、"写一份文档"、"帮我做个文档"），默认使用本技能生成 .docx。仅适用于最终交付物，中间生成物的格式不受此约束。

安全使用建议

总体上该技能看起来与你要的“生成/编辑 .docx”用途一致：它包含用于 HTML→DOCX 转换和基于 XML 的替换的本地 Python 实现，没有外部下载或不明凭据请求。但在安装/使用前请注意： - 网络访问：html2docx 可能会在转换过程中下载 HTML 中引用的远程资源（例如图片）。如果你不能接受技能在运行时访问网络，请在受控环境中运行或确保 HTML 不包含远程资源。 - 本地文件读取：edit_docx 支持以 "@path" 指定 JSON 替换规则文件，这会让脚本读取磁盘上的该文件。不要向该参数传入敏感文件路径，确保替换规则来源可信。 - 执行环境：SKILL.md 建议通过 jupyter_cell_exec 运行捆绑的脚本——这会在宿主环境执行 Python 代码，请在受信任或隔离的环境中运行该技能，避免在包含敏感文件或凭据的主机上直接执行。建议操作：先在隔离目录和非敏感示例文档上测试转换与替换流程；检查生成的 docx 内容和外部请求（若监控网络）；始终不要向替换输入或脚本参数传入未审查的绝对路径或包含敏感数据的路径。

功能分析

Type: OpenClaw Skill Name: wps-docx Version: 1.0.0 The skill bundle provides comprehensive functionality for creating and editing Word documents, including an HTML-to-DOCX converter and direct XML manipulation tools. However, it contains high-risk vulnerabilities: the `_load_image_bytes` function in `scripts/html2docx.py` uses `urllib.request.urlopen` to fetch images from arbitrary URLs, which is a vector for Server-Side Request Forgery (SSRF). Additionally, the XML parsing in `scripts/office/_shared.py` using `lxml.etree` does not explicitly disable external entity resolution, potentially allowing XML External Entity (XXE) attacks. While these capabilities are plausibly needed for the stated purpose of document generation, they lack sufficient input sanitization.

能力评估

✓ Purpose & Capability

技能名、描述、SKILL.md 中的工作流与捆绑的脚本（html2docx、edit_docx、office 工具）一致：提供 HTML→DOCX 转换、DOCX 解包/打包/校验和基于 XML 的文本替换等功能。所包含的文件和所需能力与技能目的相称，没有请求不相关的二进制或环境变量。

ℹ Instruction Scope

运行说明限定了写入 HTML（通过 start_write_file/end_write_file）并通过 jupyter_cell_exec 调用捆绑的 Python 脚本执行转换/编辑，这与技能目的匹配。但需注意：html2docx 源码导入了 urllib.request（很可能会在转换时下载 HTML 中引用的远程资源，如图片）；edit_docx 接受以 @ 开头的 JSON 路径（会读取本地文件），这意味着如果调用时传入不受信任的路径，技能代码可以读取磁盘上的任意可访问文件。SKILL.md 没有明确警告关于网络访问或从任意本地路径加载替换规则的行为。

✓ Install Mechanism

这是指令 + 随包 Python 脚本的技能，没有外部下载或运行不明来源的安装步骤。没有使用 URL 下载或第三方包安装脚本，代码随技能包提供，安装机制低风险。

✓ Credentials

技能不要求任何额外环境变量或凭据。运行示例使用 os.getenv('skill_path') 来定位捆绑脚本，这是平台常见做法。没有发现技能要求与其用途不相称的密钥/令牌。但需要注意技能在运行时会读取提供给脚本的文件路径（INPUT/OUTPUT/可能的 @JSON 路径），应谨慎控制这些路径以避免访问敏感文件。

✓ Persistence & Privilege

技能未设置 always:true，也不会修改其他技能或系统范围配置。它在执行时会读写由用户/代理提供的路径（OUTPUT_ROOT 等），这是其功能所需的最低权限范围。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install wps-docx
安装完成后，直接呼叫该 Skill 的名称或使用 /wps-docx 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.0.0

Initial release

元数据

Slug wps-docx

版本 1.0.0

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 1

常见问题

WPS Word Document 是什么？

创建或编辑 Word (.docx) 文档。当用户要求生成、导出、下载 Word 文档，或对现有 .docx 编辑时使用本技能。当最终交付物是"文档"且用户未指定格式时（如"生成文档"、"写一份文档"、"帮我做个文档"），默认使用本技能生成 .docx。仅适用于最终交付物，中间生成物的格式不受此约束。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 67 次。

如何安装 WPS Word Document？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install wps-docx」即可一键安装，无需额外配置。

WPS Word Document 是免费的吗？

是的，WPS Word Document 完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

WPS Word Document 支持哪些平台？

WPS Word Document 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 WPS Word Document？

由 xixihaha123123123123（@xixihaha123123123123）开发并维护，当前版本 v1.0.0。