Habilidades pitchcraft
📦

pitchcraft

v1.0.0 Riesgo medio ⚡ Contiene scripts📁 Acceso al sistema de archivos🔑 Variables de entorno⚙️ Comandos externos🌐 Acceso a red

Crear informes ejecutivos persuasivos

El trabajo técnico a menudo pierde impacto cuando los líderes solo ven registros de actividad. Pitchcraft convierte materiales sin procesar en informes adaptados a la audiencia, con contexto claro, evidencia, riesgos y solicitudes.

Compatible con: Claude Codex Code(CC)
📊 73 Adecuado

Esta habilidad forma parte de un paquete

Instala el paquete completo y obtén en un solo comando todas las habilidades que necesita la tarea.

1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "pitchcraft". Un equipo terminó el primer hito, tiene dos dependencias bloqueadas y necesita un ingeniero backend para la siguiente fase.

Resultado esperado:

Una actualización para liderazgo con un estado de una línea, evidencia del hito, explicaciones de riesgos, opciones y una decisión recomendada de dotación de personal.

Usando "pitchcraft". Un fundador tiene notas de mercado, métricas de uso iniciales, una demostración del producto y un objetivo de financiación seed.

Resultado esperado:

Un esquema de presentación para inversores que presenta la oportunidad, el producto, la tracción, la ventaja competitiva, la credibilidad del equipo, la solicitud de financiación y el plan de hitos.

Usando "pitchcraft". Un ingeniero de ventas necesita explicar por qué un cliente debería ejecutar una prueba de concepto.

Resultado esperado:

Un informe de propuesta que refleja el problema del cliente, muestra brechas del estado actual, explica la solución, ofrece pruebas y solicita los próximos pasos.

Auditoría de seguridad

Riesgo medio
v2 • 6/30/2026

Static analysis reported many high and critical patterns, but review found most are false positives from markdown examples, documentation URLs, license text, and Chinese-language files. The confirmed risk is the npm postinstall installer, which writes skill files into AI agent configuration directories and uses environment-controlled install scope. No malicious intent, data exfiltration, or prompt injection attempt was found.

10
Archivos escaneados
1,471
Líneas analizadas
11
Review items
0
False positives ignored

Confirmed security concerns (3)

Medio
Npm Postinstall Modifies AI Agent Skill Directories
The package declares a postinstall script and the installer creates directories and copies SKILL.md into Claude, Cursor, or Codex skill locations. This appears intended for installation, but it changes AI agent configuration automatically during package install and should be disclosed to users.
The installer behavior is directly present in package.json and scripts/install.js. It is legitimate installation behavior, but automatic writes to agent configuration are security-relevant.
Bajo
Weak Crypto and Entropy Alerts Are False Positives
The weak cryptographic algorithm alerts match words in markdown, package metadata, or the Apache license, not cryptographic operations. The high-entropy alerts are consistent with Simplified Chinese text files rather than encoded payloads.
The referenced files are text documentation or metadata, and no encryption, hashing, packing, or decode routine was found. Chinese-language text explains the entropy heuristic.
Bajo
No Prompt Injection Attempt Found
A targeted review found no text claiming system authority, pre-approval, review bypass, or instructions to ignore the marketplace audit. No evidence found for prompt injection in the reviewed files.
The reviewed instruction files define the skill workflow and do not contain audit-bypass language. The confidence is high for the inspected files, with residual risk limited to unreviewed semantic nuance.
Capability review items (3)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Medio
Environment-Controlled Install Target
The installer uses npm and process environment values to decide whether to install globally or in the current project. No credential exfiltration was found, but environment-controlled paths increase the chance of unexpected writes during automated installs.
The code reads environment variables and uses them in installation flow. The variables are normal npm or control variables, so the risk is operational rather than malicious.
Bajo
Markdown Command Blocks Are Documentation Examples
Many external command findings are shell, PowerShell, or template snippets inside markdown installation guides and briefing templates. They are not hidden execution paths in the skill runtime, although users could copy or run the installer examples manually.
The suspicious patterns appear inside fenced markdown examples or prose. I found no evidence that these snippets execute automatically from the markdown files.
Bajo
Hardcoded URLs Are Metadata and Documentation Links
The network findings point to the Apache license URL, repository metadata, badge images, and documentation links. No code path was found that sends local data or secrets to those URLs.
The URLs are visible documentation or package metadata references. No request code or data-transfer logic was present in the reviewed executable script.

Patrones detectados

Npm Postinstall Modifies AI Agent Skill Directories

Puntuación de calidad

59
Arquitectura
100
Mantenibilidad
87
Contenido
67
Comunidad
53
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Preparar una actualización de estado para liderazgo

Convierte notas de progreso, riesgos, métricas y decisiones en una actualización concisa para ejecutivos.

Plantear una solicitud de inicio de producto

Crea un informe de inicio que explique la oportunidad, el alcance, los activos, los riesgos y las necesidades de recursos.

Dar forma a una presentación para inversores o socios

Organiza el contexto de mercado, el valor del producto, la tracción, la ventaja competitiva, la fortaleza del equipo y el siguiente paso solicitado.

Prueba estos prompts

Redactar un primer informe
Ayúdame a crear una actualización de estado para líderes. Pregúntame por la audiencia, el progreso actual, las métricas clave, los riesgos y la decisión que necesito.
Mejorar una actualización preliminar
Reescribe esta actualización preliminar usando Gancho, Contexto, Propuesta, Evidencia y Solicitud. Mantén a la audiencia enfocada en decisiones, riesgos e impacto empresarial.
Preparar un informe de inicio
Crea un informe de inicio de proyecto para una audiencia de liderazgo. Incluye oportunidad, activos actuales, límites de alcance, hitos, pruebas, recursos requeridos y principales riesgos.
Poner a prueba una presentación
Revisa mi presentación para inversores en busca de evidencia faltante, afirmaciones débiles, ajuste poco claro a la audiencia y una solicitud poco enfocada. Sugiere un encuadre más sólido sin inventar hechos.

Mejores prácticas

  • Proporciona el rol de la audiencia, su familiaridad, sus principales preocupaciones y la decisión que necesitas antes de pedir un borrador.
  • Adjunta fuentes o definiciones para cada métrica para que el informe final pueda hacer afirmaciones creíbles.
  • Indica los riesgos materiales desde el principio con causa raíz, mitigación, responsable y estado actual.

Evitar

  • Usarlo para producir registros de actividad sin una decisión, solicitud o preocupación de la audiencia.
  • Permitir que el asistente invente métricas, tamaño de mercado, pruebas de clientes o detalles financieros.
  • Publicar un informe sin comprobar que el alcance, los riesgos y el apoyo solicitado estén explícitos.

Preguntas frecuentes

¿Qué tipos de informes admite Pitchcraft?
Admite inicio de proyecto, actualización de estado, cierre o revisión anual, presentación para inversores y venta de soluciones.
¿Puede funcionar con Codex y Claude Code?
Sí. Incluye compatibilidad con plugins de Claude Code y archivos de prompts que pueden usarse con Codex, Cursor, Claude o herramientas de chat.
¿Escribe las afirmaciones empresariales finales por mí?
Redacta la estructura y la formulación, pero los usuarios deben proporcionar y verificar métricas, datos de mercado, hechos de clientes y afirmaciones financieras.
¿Admite chino?
Sí. El repositorio incluye archivos de habilidad y prompts universales en chino simplificado.
¿Por qué el riesgo de seguridad está marcado como medio?
El paquete npm usa un script postinstall que copia archivos de habilidades en directorios de configuración de agentes de IA. Esto es útil, pero relevante para la seguridad.
¿Hay evidencia de comportamiento malicioso?
No se encontró intención maliciosa, exfiltración de datos ni intento de inyección de prompts durante la revisión.

Detalles del desarrollador

Autor

moshuying

Licencia

MIT

Version

v1.0.0

Ref.

main

Estructura de archivos