gh-extract

gh-extract 是一款专注于 GitHub 内容提取的实用工具，旨在帮助用户快速获取公开仓库中的文件内容。该 Skill 通过解析用户提供的 GitHub URL（支持 repo、tree、blob 等多种格式），自动将其转换为 raw 内容地址，并支持直接输出文件内容或保存至临时路径。

核心用法
用户可通过 /gh-extract <url> 命令或自然语言触发该技能。工具会智能识别 URL 类型：对于具体文件路径（blob），直接提取内容；对于仓库根目录或分支（repo/tree），自动尝试获取 README.md、SKILL.md 或 README.txt 等常见文档。执行环境依赖 uv 包管理器和 wget 工具，使用 uv run --script 方式运行 Python 脚本，确保执行环境隔离与依赖一致性。

显著优点
安全性方面，该 Skill 通过了 BSS A 级安全认证，代码中未使用 eval()、exec() 等危险函数，所有用户输入均经过严格的域名验证（仅允许 github.com），有效防范命令注入攻击。依赖管理规范，所有第三方库版本均已锁定（furl>=2.1.4、requests>=2.32.5 等），无已知 CVE 漏洞。功能设计简洁实用，支持智能文档发现，对于未指定具体文件的仓库链接，能够自动寻找并提取关键说明文档，极大提升了信息获取效率。

潜在缺点与局限性
首先，该工具仅支持 GitHub 公共仓库，无法访问私有仓库或需要身份验证的资源，这在企业内网或私有代码库场景下使用受限。其次，运行依赖特定工具链（uv 和 wget），在部分精简环境或 Windows 系统中可能需要额外配置。此外，作为 T3 级来源（个人开发者维护），虽然代码经过审计，但长期维护稳定性和功能迭代速度可能不如官方或企业级工具。网络方面，由于需要访问 GitHub 和 raw.githubusercontent.com，在网络受限地区可能无法正常使用。

适合的目标群体
该 Skill 特别适合需要频繁查阅 GitHub 开源项目文档的开发者、技术写作者以及 DevOps 工程师。对于进行代码审查、技术调研、依赖分析的用户，能够快速获取仓库关键信息而无需完整克隆仓库。同时适用于 CI/CD 流水线中，在构建或部署前动态获取配置文件或脚本模板。

使用风险
主要风险集中在网络执行层面：虽然 URL 经过验证，但工具使用 subprocess.run() 调用系统 wget 命令下载文件，在极端情况下若环境变量被恶意篡改可能存在风险（尽管当前实现已做严格校验）。下载的文件存储于系统临时目录，虽不会永久留存，但处理敏感数据时仍需注意清理。此外，作为第三方 Skill，用户应确保从可信渠道（clawhub.ai）获取，避免使用来路不明的修改版本。