← 返回 Skills 市场
亚协瑜伽馆经营顾问yaxie--consultant
作者
design84086505-maker
· GitHub ↗
· v1.0.1
· MIT-0
122
总下载
1
收藏
0
当前安装
2
版本数
在 OpenClaw 中安装
/install yaxie-yoga-studio-consultant
功能描述
亚协体育瑜伽馆经营知识库读取技能。当需要查询瑜伽馆经营相关知识时使用,包括:销售话术、活动策划、团队管理、股权合伙、抖音运营、私教成交、会员运营、卡项设计等亚协知识库内容。支持关键词搜索、文件内容读取、知识点总结。触发场景:(1)用户询问瑜伽馆经营问题 (2)需要调用亚协知识库内容回答 (3)查询馆主关心的经营痛...
安全使用建议
该技能实现了声明的知识库搜索与读取功能, 但存在重要安全问题:
- 凭据泄露:APP_ID / APP_SECRET 均以明文硬编码出现在脚本和 SKILL.md 中。公开分发这些凭据会允许任何人使用它们访问并下载该飞书空间内的文件。不要在生产环境中安装带有公开凭据的技能。建议要求作者将凭据移除,改为通过安装时提供/要求使用环境变量或机密存储。
- 本地执行:wiki_read.js 会在磁盘上写入下载文件并生成/执行临时 Python 脚本(child_process.exec),这需要可信的运行环境;在不受信或共享环境中运行可能导致任意代码执行风险。建议先在隔离/沙箱环境中测试,确认无恶意行为。
- 依赖与完整性:SKILL.md 提到的 TOOLS.md 和 OCR 支持未包含在包中;此外依赖 python 与 PyPDF2。安装前确认运行环境满足依赖,或要求作者提供安装说明与最小权限设计。
- 建议步骤:
1) 不要直接使用仓内明文凭据;要求作者移除并改为通过安全配置注入凭据。
2) 在隔离容器或测试账户上运行并观察其对外网络请求与文件写入位置(脚本会写到相对上层目录)。
3) 要求作者提供提取/解析流程的安全说明(例如 OCR 实现、依赖清单)。
4) 如凭据确属你方所有,考虑在安装前立即轮换/撤销当前嵌入的 App Secret。
功能分析
Type: OpenClaw Skill
Name: yaxie-yoga-studio-consultant
Version: 1.0.1
The skill bundle contains hardcoded sensitive credentials (Feishu App ID and App Secret) in SKILL.md and all script files, which is a major security risk. Furthermore, scripts/wiki_read.js uses child_process.exec to run dynamically generated Python code for document parsing, a high-risk pattern vulnerable to command injection. While the logic appears aligned with the stated purpose of a yoga knowledge base consultant, the exposure of secrets and unsafe execution methods are significant vulnerabilities.
能力评估
Purpose & Capability
技能声称是读取并搜索亚协瑜伽馆的知识库,脚本确实使用飞书(Open Feishu) API 列表/搜索/下载文件,功能上与描述一致;但脚本中硬编码了 APP_ID/APP_SECRET(并在 SKILL.md 中重复暴露),这属于敏感凭据泄露——理应通过安装时提供或通过环境变量注入,而不是内嵌在公开包中。
Instruction Scope
SKILL.md 的运行流程与脚本调用是一致的(搜索->获取 obj_token->下载->提取文本->总结)。但说明中提到的工具/文件(例如 TOOLS.md、OCR 处理)在包中不存在或未实现;脚本会下载文件到磁盘并生成/执行临时 Python 脚本来解析 docx/pdf,这赋予了运行时写盘与执行外部解释器的能力,扩大了攻击面。
Install Mechanism
这是 instruction-only(无安装规范),不会自动下载第三方二进制,降低了供应链风险。但脚本依赖系统上的 python 和 PyPDF2、以及可能的 OCR,且通过 child_process.exec 执行生成的临时 Python 文件——在无安装/沙箱说明下,运行环境不受控,存在依赖缺失或执行失败与潜在滥用风险。
Credentials
技能未声明任何 required env vars,但代码将飞书 App ID/Secret 明文硬编码在脚本并在 SKILL.md 中公开,这既是不必要的暴露也与“无需外部凭据”不一致。硬编码凭据容易被任意第三方复制并滥用以访问该飞书空间的文件,构成明显不成比例的风险。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能或系统配置;它不会强制常驻或自行提升权限。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install yaxie-yoga-studio-consultant - 安装完成后,直接呼叫该 Skill 的名称或使用
/yaxie-yoga-studio-consultant触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.1
亚协知识库读取功能上线:支持瑜伽馆经营知识搜索与文件提取。
- 新增知识库文件管理与检索脚本,包括全文搜索、文件读取、文件列表获取。
- 支持按关键词搜索97个亚协经营类文件(docx/pdf/xls格式)。
- 可根据obj_token下载并解析文件内容,供总结和问题解答使用。
- 更新技能定位为“亚协体育瑜伽馆经营知识库读取工具”,适用于经营痛点方案查询。
v1.0.0
yaxie-yoga-studio-consultant v1.0.0
- Initial release.
- Provides specialist business consulting services for yoga studio owners.
- Enforces mandatory collection of studio basic info before any other service can be accessed.
- Uses owner-supplied data to offer personalized advice, documentation, and activity planning based on industry experience.
- Supports OpenClaw protocol with long-term memory for ongoing, tailored support.
元数据
常见问题
亚协瑜伽馆经营顾问yaxie--consultant 是什么?
亚协体育瑜伽馆经营知识库读取技能。当需要查询瑜伽馆经营相关知识时使用,包括:销售话术、活动策划、团队管理、股权合伙、抖音运营、私教成交、会员运营、卡项设计等亚协知识库内容。支持关键词搜索、文件内容读取、知识点总结。触发场景:(1)用户询问瑜伽馆经营问题 (2)需要调用亚协知识库内容回答 (3)查询馆主关心的经营痛... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 122 次。
如何安装 亚协瑜伽馆经营顾问yaxie--consultant?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install yaxie-yoga-studio-consultant」即可一键安装,无需额外配置。
亚协瑜伽馆经营顾问yaxie--consultant 是免费的吗?
是的,亚协瑜伽馆经营顾问yaxie--consultant 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
亚协瑜伽馆经营顾问yaxie--consultant 支持哪些平台?
亚协瑜伽馆经营顾问yaxie--consultant 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 亚协瑜伽馆经营顾问yaxie--consultant?
由 design84086505-maker(@design84086505-maker)开发并维护,当前版本 v1.0.1。
推荐 Skills