← 返回 Skills 市场

ZFONT-CLI

Name: ZFONT-CLI
Author: lanmin-x

作者 LANMIN-X · GitHub ↗ · v1.5.3 · MIT-0

cross-platform ⚠ suspicious

347

总下载

当前安装

版本数

在 OpenClaw 中安装

/install zfont-cli

功能描述

从 zfont.cn 智能搜索、推荐并下载免费商用字体，支持递归解压字体包提取 TTF、OTF、TTC 格式文件并提供安装或传输方案。

安全使用建议

This skill appears coherent for downloading fonts from zfont.cn and doesn't request unrelated secrets. Before installing: 1) Confirm you trust zfont.cn/files.zfont.cn (the skill will download and extract archives from that host). Malicious or malformed font files can still be harmful if opened or installed. 2) Consider disabling autonomous invocation or requiring explicit confirmation for downloads if you want to avoid silent fetches. 3) Run the skill in a sandboxed environment (or review downloaded archives) before installing fonts system-wide. 4) Because the skill's source/homepage is unknown, prefer caution: validate the remote endpoints and test with non-sensitive, disposable environments first.

功能分析

Type: OpenClaw Skill Name: zfont-agent-cli Version: 1.5.3 The skill facilitates font searching and downloading from zfont.cn but contains shell injection vulnerabilities in the `download_font_archive` and `process_font_asset` actions within `skill.md`. It uses `bash -c` to execute `wget` and `unzip` commands using variables (`download_url`, `font_name`) fetched directly from a remote API without adequate shell sanitization. While the code includes a domain whitelist check for `https://files.zfont.cn/*`, the implementation remains vulnerable to RCE if the remote API returns crafted payloads.

能力评估

✓ Purpose & Capability

Name/description, declared required binaries (wget, unzip, cp, bash), and the HTTP endpoints (zfont.cn / files.zfont.cn) all align with a font-search-and-download tool. No unrelated credentials, binaries, or config paths are requested.

ℹ Instruction Scope

Instructions stay within the stated task: search via zfont.cn APIs, fetch a download URL, download to /tmp, optionally unzip and deliver files. They do not request unrelated system files or secrets. Note: get_font_download_url specifies a silent (non-interactive) immediate download when a font ID is obtained, which may cause the agent to fetch archives without an extra explicit user confirmation in some flows.

✓ Install Mechanism

This is an instruction-only skill with no install spec or code to write to disk, which is the lowest-risk install model. All runtime commands are standard system utilities (wget/unzip).

✓ Credentials

The skill requires no environment variables, no credentials, and no config paths. Network access to zfont.cn/files.zfont.cn is expected and proportional to the purpose.

ℹ Persistence & Privilege

always is false and the skill does not request system-wide changes. However, disable-model-invocation is false (normal), and the skill's logic includes silent download and automated file sending steps—this gives the skill the ability to autonomously fetch and stage binaries (archives) in /tmp and hand them off via the platform's file-send API, increasing blast radius if the remote content is malicious or if agent autonomy is undesired.

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install zfont-cli
安装完成后，直接呼叫该 Skill 的名称或使用 /zfont-cli 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.5.3

zfont-agent-cli 1.5.3 - 优化用户收到字体后的指引：发送文件后，指引内容从代码块样式改为分条说明，更清晰易读 - 发送压缩包或字体文件时，分别用更符合用户习惯的文本格式化说明解压和安装方式 - 其余功能及接口保持不变

v1.5.2

- 修复注册元数据报错，新增必需依赖声明（wget、unzip、cp、bash）。 - 微调描述，明确字体来源于ZFONT.CN且为免费商用字体。 - 其他功能保持不变。

v1.5.1

zfont-cli v1.5.1 - 简化了描述与功能说明，去除此版本中的自动安装与系统嗅探能力。 - 下载完成后的选项仅保留“发送压缩包”或“发送字体文件”，不再提供“一键安装到系统”。 - 优化动作逻辑，仅保留文件提取与下发，去除对操作系统的自动判断和安装脚本。 - 精简依赖说明，移除“cp(安装字体)”相关内容。 - 保留压缩包与字体文件的发送及简要使用指南输出。

v1.5.0

ZFONT-CLI 1.5.0 重大更新：精简交互，全自动化字体下载与部署体验。 - 简化操作流程：支持智能分支，命中精确字体名时可直接进入下载，无需人工筛选。 - 搜索结果以 Markdown 表格输出，避免展示字体 ID，界面更友好。 - 下载完成后用户可直接选择自动安装、获取字体文件或原始压缩包。 - 自动识别操作系统并执行对应字体安装流程，最大限度减少手动操作。 - 所有关键交互均禁用表情符号与多余叙述，保证简洁清晰。 - 动作间深度联动，“一次问答”即可完成下载安装全流程。

v1.4.0

Version 1.4.0 introduces enhanced transparency and user choice. - 所有下载、解压与安装步骤均详细解释，如 wget（下载）、unzip（解压）、cp（安装），用户可提前知悉。 - 新增“是否解压”流程，允许用户选择直接获取原始压缩包或解压后再处理。 - 操作流程提示更加清晰，执行前会告知用户每一步的系统命令及含义。 - 安装引导明确说明 cp 即为系统级字体安装。 - 支持直接回传 zip 包，实现按需提取。

v1.3.0

ZFONT-CLI 1.3.0 brings advanced font search, extraction, and deployment from zfont.cn with intelligent recommendations and cross-platform asset handling. - Added smart font search and professional recommendation from zfont.cn, including detailed info and VF (Variable Font) prioritization. - Supports secure extraction and recursive decompression of downloaded font packages, automatically pulling out core TTF, OTF, and TTC assets. - Introduced a split workflow: users can choose between step-by-step local installation guidance (macOS, Linux, Windows) or direct asset packaging and download. - Enhanced system triggers for discovering and obtaining free commercial fonts with simple commands. - Improved user interaction with explicit prompts for next actions after extraction (install or receive the cleaned assets).

元数据

Slug zfont-cli

版本 1.5.3

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 6

常见问题

ZFONT-CLI 是什么？

从 zfont.cn 智能搜索、推荐并下载免费商用字体，支持递归解压字体包提取 TTF、OTF、TTC 格式文件并提供安装或传输方案。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 347 次。

如何安装 ZFONT-CLI？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install zfont-cli」即可一键安装，无需额外配置。

ZFONT-CLI 是免费的吗？

是的，ZFONT-CLI 完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

ZFONT-CLI 支持哪些平台？

ZFONT-CLI 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 ZFONT-CLI？

由 LANMIN-X（@lanmin-x）开发并维护，当前版本 v1.5.3。