denario-skill

🔬 AI驱动的全自动科研论文生成

基于Denario框架的多Agent科研流水线,自动完成从选题、方法设计到论文生成的全流程,集成Zhipu API实现智能化学术写作。

收藏
12.5k
安装
2.9k
版本
v1.0.0
CLS 安全性认证2026-05-01
点击查看完整报告 >

使用说明

Denario Skill 是一个基于 Denario 框架的自动化科研流水线工具,旨在通过 AI Agent 协作完成从研究选题到完整论文生成的全流程自动化。用户可通过特定的触发词(如"Denario idea"、"Denario paper"等)驱动系统分阶段执行:生成研究想法、开发方法论、分析实验结果、编译完整论文及管理引用文献,实现科研工作的端到端自动化。

该技能的核心优势在于其智能化的多 Agent 协作机制,采用 Maker/Hater 双 Agent 模式进行创意生成与批判性验证,有效提升研究创意的质量与可行性。技术实现上,它通过 wrapper.sh 脚本自动管理独立的 Python 虚拟环境(位于 ~/.denario_skill_env),实现依赖隔离,避免对系统 Python 环境造成污染。同时,它原生集成 Z.ai(智谱 AI)API,用户只需配置 OPENAI_API_KEY 即可调用大模型能力完成复杂学术写作任务。

然而,该技能存在明显的安全与稳定性缺陷。首先,代码中硬编码了 PERPLEXITY_API_KEY(位于 scripts/test_citations.py 第13行),这不仅存在密钥泄露风险,也可能导致 API 配额被未授权使用。其次,依赖安装未锁定版本(wrapper.sh 中使用 pip install -q denario langchain-openai),可能因依赖更新引入破坏性变更或供应链安全风险。此外,脚本会修改 PATH 环境变量添加 TinyTeX 路径,虽仅影响当前进程,但可能对环境隔离性有潜在影响。

该工具适合需要快速生成学术论文初稿的科研人员、研究生,或希望自动化文献综述与引用管理的学术工作者。特别适合已在使用 Zhipu AI(智谱 AI)服务且对英文论文生成有需求的用户,能够显著缩短从研究想法到可提交论文的周期。

使用过程中需注意以下风险:1)数据隐私风险,研究数据将发送至智谱 AI API 进行处理,敏感研究内容需谨慎;2)依赖安全风险,未固定版本的依赖可能包含漏洞或破坏性更新;3)环境冲突风险,虽然使用虚拟环境,但 TinyTeX 的 PATH 修改可能影响其他依赖 LaTeX 的工具链;4)API 成本风险,全自动流水线可能消耗大量 API 调用额度,需监控使用情况。

安全解读

核心用法

Denario Skill 是一个面向学术研究自动化的框架封装工具,通过五个触发短语串联完整科研流水线:

  • "Denario idea" —— 利用 Maker/Hater 对抗循环生成研究想法
  • "Denario methods" —— 自动构建方法论框架
  • "Denario results" —— 生成模拟结果与分析
  • "Denario paper" —— 编译完整学术论文
  • "Denario citations" —— 管理文献引用

首次运行自动创建隔离虚拟环境 ~/.denario_skill_env,依赖 Zhipu AI (Z.ai) 和 Perplexity API 提供大模型能力。

显著优点

1. 端到端自动化:覆盖科研全流程,大幅降低重复性写作负担
2. 零配置启动:虚拟环境与依赖自动管理,用户仅需配置 API 密钥

3. 模块化设计:各阶段可独立触发,支持灵活组合与迭代优化

4. 多源 AI 整合:结合 Zhipu 的代码能力与 Perplexity 的实时检索,增强内容质量

潜在缺点与局限

  • 严重安全缺陷:代码中硬编码有效 Perplexity API 密钥,存在未授权访问与费用风险
  • 运行时行为篡改:全量脚本对 LangChain 核心类进行 monkey-patching,破坏库预期行为,易引发兼容性问题
  • 数据外泄风险:研究数据需上传至第三方中国 AI 服务商,隐私合规存疑
  • 来源可信度低:个人开发者维护(T3 级别),无组织级背书与长期维护保障
  • 速率限制实现粗暴:强制 2 秒延迟可能无法满足实际 API 限制,且难以调整

适合人群

  • 具备技术背景、愿意审计代码的研究人员
  • 对数据隐私敏感度较低、追求快速原型的学术用户
  • 有独立 API 密钥、希望自动化论文草稿的博士生/青年学者

常规风险

| 风险类别 | 等级 | 说明 |
|---------|------|------|
| 凭证泄露 | 🔴 Critical | 硬编码密钥可被任意获取者滥用 |
| 代码可维护性 | 🟠 High | Monkey-patching 引入不可预期行为 |
| 数据主权 | 🟡 Medium | 研究数据跨境传输至外部 AI 服务 |
| 服务连续性 | 🟡 Medium | 依赖个人项目,无 SLA 保障 |

建议:仅在隔离环境、使用自有 API 密钥的实验场景下使用,生产环境或敏感研究数据场景强烈不建议部署。

denario-skill 内容

scripts文件夹
手动下载zip · 6.9 kB
test_citations.pytext/plain
请选择文件