分类 其他 下的文章

基于HTTP客户端的IServ学校平台集成工具,通过环境变量安全凭证管理,实现邮件、文件、作业等校园数据自动化处理。

基本信息

  • 技能名称?iserv
  • 中文名称?校园平台自动化数据管家
  • 作者?finnbusse
  • 分类?其他
  • 版本?未标注
  • 标签?education-research, automation, api, productivity, backend

使用方法

使用说明
IServ Skill 是一个专为德国学校广泛使用的 IServ 教育平台设计的 Python 命令行工具。它通过纯 HTTP 客户端方式(无需浏览器自动化)与 IServ 实例交互,为学生和教师提供了一站式的校园数据自动化管理方案。
核心用法上,用户通过环境变量配置学校服务器地址(ISERV_BASE_URL)和登录凭证(ISERV_USER/PASS),即可使用丰富的命令行接口完成各类操作。功能覆盖邮件管理(未读计数、IMAP 邮件获取)、日历事件查询、文件系统操作(列表、搜索、上传下载、目录管理)、即时通讯(消息列表、收发)以及作业管理(查看、提交)。特别支持多账号并行配置,通过 ISERV_PROFILE 环境变量实现不同学校账号的快速切换。
显著优点在于其架构简洁高效,仅依赖标准的 HTTP 请求而非笨重的浏览器自动化,执行速度快且资源占用低。凭证管理严格遵循安全最佳实践,强制使用环境变量注入,彻底避免硬编码风险。功能覆盖面广,从日常邮件查看到作业文件提交,基本涵盖了校园数字生活的主要场景。
然而,该 Skill 也存在一定局限性。文件操作和作业提交等功能标注为"best-effort",由于不同学校部署的 IServ 版本存在差异,部分端点可能无法完全兼容。作业相关功能依赖 HTML 解析而非稳定 API,界面更新可能导致功能失效。作为 v0.1.0 的早期版本,且来源于个人开发者(T3 级),长期维护和功能稳定性存在一定不确定性。
适合的目标群体主要是使用 IServ 平台的德国学校师生,特别是需要批量管理学习资料、自动化作业提交或集成校园数据到个人工作流的技术用户。对于需要频繁在多个学校账号间切换的管理员或跨校合作项目参与者,多配置文件支持尤为实用。
使用风险方面,除常规的网络连接依赖外,需特别注意文件删除操作不可逆,SKILL.md 已明确标注"USE WITH CARE"。由于工具需要存储登录凭证,用户应确保运行环境安全,避免在共享设备上以明文形式留存环境变量。此外,所有数据交互均通过用户指定的服务器进行,虽无第三方数据泄露风险,但仍建议确认目标服务器的可信度,避免连接至钓鱼或不可信的 IServ 实例。

ClawHub 官方安全扫描工具,专用于审查第三方 Skill 的代码安全与实用价值,内置 AI 提示词注入防护机制。

基本信息

  • 技能名称?Skill Vetting
  • 中文名称?官方 Skill 安全审查与风险扫描工具
  • 作者?eddygk
  • 分类?其他
  • 版本?1.1.0
  • 标签?security, static-analysis, code-review, supply-chain, clawhub-official, prompt-injection-defense

使用方法

使用说明
核心用法
skill-vetting 是 ClawHub 平台官方提供的安全审查工具,用于在安装第三方 Skill 前执行静态代码分析与风险评估。用户通过 CLI 下载目标 Skill 至临时目录,运行内置扫描器检测危险代码模式,结合人工审查 SKILL.md 和脚本内容,最终依据安全-效用决策矩阵判断是否安装。
显著优点

  1. 防御性安全架构 :SKILL.md 中嵌入完整的 AI 提示词注入防护指南,明确禁止审查者受 Skill 内文本操控,体现对抗性安全思维
  2. 零依赖设计 :扫描脚本仅使用 Python 标准库,彻底规避供应链攻击风险
  3. 自动化+人工双轨制 :Regex 模式扫描覆盖常见恶意特征,同时强制要求人工理解代码语义,弥补静态分析的固有局限
  4. 决策框架清晰 :提供明确的红线规则(如检测到 prompt_injection 立即拒绝)和分级评估矩阵,降低主观判断失误
    潜在局限
  5. 静态分析可绕过 :文档明确承认 getattr、importlib、globals() 等动态执行手法可规避当前正则模式
  6. 语义级攻击盲区 :无法检测纯文本形式的 AI 操控指令、时间延迟激活、条件触发逻辑炸弹等高级威胁
  7. 无动态沙箱 :缺乏运行时行为监控,仅能分析代码表象而非实际执行路径
  8. 来源透明度不足 :虽为平台官方工具,但未开源托管,社区审计机制缺失
    适合人群
    频繁安装第三方 Skill 的 ClawHub 高级用户
    企业安全团队进行预安装合规审查
    对 AI 供应链安全有认知的技术决策者
    常规风险
    过度依赖自动化 :用户可能忽视 "scanner limitations" 警告,误判清洁扫描结果为绝对安全
    社会工程抗性 :审查者自身需具备识别提示词注入的意识,工具无法替代人的批判性思维
    版本滞后风险 :恶意模式库需人工更新,新型绕过技术可能存在检测窗口期

每日晨间简报生成器,一键聚合待办、日程与会议上下文,帮助用户专注当日要务。源自知名AI社群运营者,安全可信。

基本信息

  • 技能名称?AI Daily Briefing
  • 中文名称?一键生成晨间简报,掌控全天要务
  • 作者?jeffjhunter
  • 分类?其他
  • 版本?1.0.0
  • 标签?daily-briefing, morning-routine, productivity, task-management, todo, calendar, planning, focus, markdown-only, privacy-friendly

使用方法

使用说明
核心用法
ai-daily-briefing 是一款纯 Markdown 指令型 Skill,用户只需说"briefing"即可触发完整的每日晨间简报。它会自动从工作区内的 todo.md 、 meeting-notes/ 、 MEMORY.md 等本地文件聚合信息,生成包含五大板块的格式化简报:⚠️ 逾期任务、 今日优先事项、 日历概览、 会议上下文、 今日专注点。
显著优点

  1. 零配置开箱即用 :无需复杂设置,触发词自然直观("briefing"/"start my day"/"what's on my plate"等)
  2. 格式极度清晰 :强制使用统一的分隔线视觉框架,信息密度高但扫描友好
  3. 智能优先级判断 :不仅罗列任务,还会基于逾期后果、会议重要性生成一句"今日专注"总结
  4. 数据完全本地 :不调用外部API,不传输用户数据,隐私风险极低
  5. 模块化兼容设计 :与 ai-meeting-notes (生成待办)、 ai-persona-os (记忆上下文)无缝协作,也可独立运行
    潜在局限
    依赖前置数据质量 :若无规范的 todo.md 或会议笔记,简报内容会大幅缩水
    无真实日历集成 :文档中提到的"Calendar"板块依赖"if available",实际需手动维护或依赖其他系统
    固定格式限制 :严格的区块顺序和数量限制(每区最多5项)可能不适合超复杂日程的用户
    周末/时段适配有限 :虽提到周末轻量格式和晚间请求的特殊处理,但逻辑较简单
    适合人群
    远程工作者、自由职业者、创业者——需要每日快速对齐要务
    已使用 ai-meeting-notes 的用户——可直接消费其生成的结构化待办
    追求"单屏信息聚合"的生产力爱好者
    对隐私敏感、不希望数据外泄的企业用户
    常规风险
    | 风险类型 | 评估 | 说明 | |---------|------|------| | 数据泄露 | 极低 | 纯本地文件读取,无网络请求 | | 指令注入 | 极低 | 无可执行代码,仅为文本模板 | | 依赖风险 | 无 | 零外部依赖 | | 作者失联 | 低 | 作者有个人品牌网站和商业社群背书,可追溯 | 建议用户主动维护 todo.md 的规范格式,以确保简报质量。

自动化执行指定网站的SEO健康检测,生成PR链接与关键优化建议,仅限boll-koll.se和hyresbyte.se两个白名单域名

基本信息

  • 技能名称?Seo Autopilot
  • 中文名称?一键SEO检测,PR直出优化建议
  • 作者?adamhjort
  • 分类?其他
  • 版本?1.0.0
  • 标签?seo, automation, git, devops, site-maintenance, whitelist-restricted

使用方法

使用说明
核心用法
用户通过简单指令触发SEO自动化检测:直接输入"seo"默认检测boll-koll.se,或指定"seo 域名"检测白名单内网站。系统调用本地脚本 scripts/run.sh 执行检测,提取PR链接并可选返回SEO_REPORT.md中的前3项关键发现。
显著优点
极简交互 :单关键词触发,无需复杂配置
定向安全 :严格白名单机制(仅boll-koll.se、hyresbyte.se),杜绝任意命令执行
结果可追溯 :自动生成PR链接,便于团队协作与版本管理
快速反馈 :整合结构化报告提取,直接呈现优先级优化项
潜在局限
域名限制严格 :仅限两个预置瑞典本地网站,不具备通用SEO工具能力
依赖本地环境 :需预置scripts/run.sh及SEO_REPORT.md,无法独立运行
输出维度固定 :仅提取PR链接和前3项发现,深度分析需人工查阅完整报告
无实时监控 :单次执行模式,非持续性SEO追踪
适合人群
boll-koll.se或hyresbyte.se的运营/技术人员
需要快速获取站点SEO快照的团队成员
熟悉Git工作流、通过PR管理优化的开发团队
常规风险
命令注入防御 :已通过白名单校验缓解,但仍需确保scripts/run.sh内部无二次解析漏洞
敏感信息泄露 :SEO_REPORT.md可能包含流量数据或关键词策略,需控制访问权限
供应链风险 :依赖的本地脚本若被篡改将直接影响执行安全

基于 CDP Swap API 的 Base 网络代币兑换工具,支持 USDC/ETH/WETH 等主流代币一键交易,需配合 awal CLI 完成钱包认证后使用。

基本信息

  • 技能名称?trade
  • 中文名称?Base 网络一键代币兑换
  • 作者?0xRAG
  • 分类?其他
  • 版本?未标注
  • 标签?finance-accounting, automation, api, blockchain, defi, backend

使用方法

使用说明
核心用法
该 Skill 提供 Base 网络上的代币兑换功能,通过 npx awal@latest trade 命令调用 CDP Swap API 执行交易。用户需先完成钱包认证( awal auth login ),然后使用简洁的命令语法完成代币兑换。支持多种金额格式:美元符号( '$1.00'' )、小数( 0.5 )、整数( 100 )或原子单位( 500000 ),并内置 USDC、ETH、WETH 三个常用代币别名,也可直接使用合约地址进行任意代币交易。
显著优点

  1. 格式灵活 :四种金额输入方式覆盖不同用户习惯,自动识别原子单位与可读金额
  2. 代币支持完善 :内置主流代币别名,同时支持任意 ERC-20 合约地址兑换
  3. 参数可控 :支持自定义滑点容忍度( --slippage )和 JSON 格式输出( --json )
  4. 错误处理详尽 :文档明确列出 6 类常见错误及解决方案,降低新手踩坑成本
  5. 链上透明 :基于 Coinbase Developer Platform 的 CDP Swap API,流动性来源可靠
    潜在缺点与局限性
  6. 网络单一 :仅支持 Base 网络,无法覆盖 Ethereum 主网、Arbitrum 等其他 L2
  7. 外部依赖重 :核心功能完全依赖 awal npm 包的持续维护,版本锁定为 @latest 存在潜在兼容性风险
  8. 无图形界面 :纯 CLI 交互,对非技术用户门槛较高
  9. 认证前置 :必须预先完成 awal 钱包认证,无法即开即用
  10. 代币别名有限 :仅 3 个内置别名,其他代币需手动查找合约地址
    适合的目标群体
    熟悉命令行操作的加密货币交易者
    需要在 Base 网络快速兑换 USDC/ETH/WETH 的 DeFi 用户
    希望集成自动化交易脚本的技术开发者
    已使用 Coinbase 生态工具(CDP/awal)的现有用户
    使用风险
  11. 资产安全风险 :交易涉及真实链上资产,滑点设置不当或网络拥堵可能导致意外损失
  12. 命令注入风险 :金额参数若未正确加引号(如 $1.00 而非 '$1.00'' ),可能触发 bash 变量扩展
  13. 依赖可用性 : awal@latest 的更新可能引入 breaking changes,影响脚本稳定性
  14. 流动性风险 :小众代币对可能出现 "No liquidity" 错误,需调整金额或代币选择
  15. 认证状态依赖 :钱包认证过期或失效会导致交易中断,需定期检查 awal status