denario-skill

Denario Skill 是一个基于 Denario 框架的自动化科研流水线工具，旨在通过 AI Agent 协作完成从研究选题到完整论文生成的全流程自动化。用户可通过特定的触发词（如"Denario idea"、"Denario paper"等）驱动系统分阶段执行：生成研究想法、开发方法论、分析实验结果、编译完整论文及管理引用文献，实现科研工作的端到端自动化。

该技能的核心优势在于其智能化的多 Agent 协作机制，采用 Maker/Hater 双 Agent 模式进行创意生成与批判性验证，有效提升研究创意的质量与可行性。技术实现上，它通过 wrapper.sh 脚本自动管理独立的 Python 虚拟环境（位于 ~/.denario_skill_env），实现依赖隔离，避免对系统 Python 环境造成污染。同时，它原生集成 Z.ai（智谱 AI）API，用户只需配置 OPENAI_API_KEY 即可调用大模型能力完成复杂学术写作任务。

然而，该技能存在明显的安全与稳定性缺陷。首先，代码中硬编码了 PERPLEXITY_API_KEY（位于 scripts/test_citations.py 第13行），这不仅存在密钥泄露风险，也可能导致 API 配额被未授权使用。其次，依赖安装未锁定版本（wrapper.sh 中使用 pip install -q denario langchain-openai），可能因依赖更新引入破坏性变更或供应链安全风险。此外，脚本会修改 PATH 环境变量添加 TinyTeX 路径，虽仅影响当前进程，但可能对环境隔离性有潜在影响。

该工具适合需要快速生成学术论文初稿的科研人员、研究生，或希望自动化文献综述与引用管理的学术工作者。特别适合已在使用 Zhipu AI（智谱 AI）服务且对英文论文生成有需求的用户，能够显著缩短从研究想法到可提交论文的周期。

使用过程中需注意以下风险：1）数据隐私风险，研究数据将发送至智谱 AI API 进行处理，敏感研究内容需谨慎；2）依赖安全风险，未固定版本的依赖可能包含漏洞或破坏性更新；3）环境冲突风险，虽然使用虚拟环境，但 TinyTeX 的 PATH 修改可能影响其他依赖 LaTeX 的工具链；4）API 成本风险，全自动流水线可能消耗大量 API 调用额度，需监控使用情况。