Wps Skill

核心用法

WPS Office Skill 提供双重能力：本地文档自动化与云端协作功能。

本地功能：通过 subprocess 调用 WPS 应用程序，结合 pyautogui 模拟键盘输入实现文档创建、打开、格式转换（MD→Word/RTF/HTML）及批量处理。无需凭证即可使用，适合离线场景。

云端功能：集成 WPS 365 开放平台 API，支持智能表单、在线协作文档、多维表格（含视图管理与高级查询）、流程图及思维导图的创建与导出。需配置 app_id 和 app_secret，采用 OAuth 2.0 + HTTPS 加密传输。

显著优点

• 功能覆盖全面，兼顾本地与云端场景
• 格式转换能力实用，支持 Markdown 生态衔接
• API 设计规范，token 自动刷新机制完善
• 开源 MIT 许可，可审计源码

潜在缺点与局限性

• 强依赖 GUI 自动化：pyautogui 模拟输入易因窗口焦点变化失败，跨平台兼容性差
• 凭证管理薄弱：当前仅支持明文 config.json，环境变量支持标记为"即将支持"
• 权限要求严苛：macOS 需开启辅助功能权限，存在攻击面扩大风险
• 厂商锁定风险：云端功能深度绑定 WPS 生态，API 稳定性受厂商策略影响

适合人群

• 个人用户：需批量处理本地 Office 文档的轻度自动化需求
• 小型团队：已采用 WPS 365 作为协作平台，需脚本化数据导出
• 不推荐：高安全要求的企业环境、需无人值守稳定运行的生产系统

常规风险

• GUI 自动化可能导致误操作，干扰当前工作窗口
• 凭证明文存储存在泄露风险，公共设备禁用云端功能
• pyautogui 的键盘模拟可能被恶意利用为输入注入攻击载体

核心用法

WPS Office Skill 是一个自动化工具，支持两大功能模块：

本地文档操作（无需凭证）

• 创建 Word/Excel/PPT 文档
• Markdown 转 Word/RTF/HTML 格式
• 批量文档格式转换
• 通过 pyautogui 模拟键盘输入实现带内容文档创建

WPS 365 云端功能（需配置凭证）

• 智能表单创建与数据收集
• 在线协作文档管理
• 多维表格视图与高级查询
• 流程图、思维导图的创建与导出

显著优点

1. 功能完整：覆盖文档创建、格式转换、云端协作全链路
2. 官方 API 集成：WPS 365 功能使用 WPS 开放平台官方 REST API，HTTPS 加密传输
3. 依赖可信：所有依赖包（pyautogui、requests、Pillow 等）均为知名开源库，无已知 CVE 漏洞
4. 安全警告完善：SKILL.md 明确告知 GUI 自动化风险、凭证安全建议、沙盒测试建议
5. 代码透明：MIT 开源许可证，源码可审查

潜在缺点与局限性

1. GUI 自动化风险：使用 pyautogui 模拟键盘输入，可能与当前活动窗口意外交互，macOS 需授予辅助功能权限
2. 凭证明文存储：当前版本将 app_id/app_secret 存储于 config.json，尚未支持环境变量（计划中）
3. subprocess 调用：通过 subprocess.Popen 启动 WPS 应用程序，存在进程注入理论风险（需验证 WPS 来源可信）
4. 无敏感操作日志：认证报告标记为 fail，关键操作缺乏审计记录
5. T3 来源：社区项目（MaxStorm Team），非顶级基金会背书，需用户自行审查

适合人群

• 需要批量处理 Office 文档的办公自动化用户
• 使用 WPS 365 企业协作的团队（需自行管理凭证安全）
• 具备基础 Python 环境配置能力的技术用户
• 不适合：对 GUI 自动化敏感的生产环境、多用户共享设备

常规风险

| 风险项 | 等级 | 说明 |

|--------|------|------|

| GUI 自动化干扰 | 中 | pyautogui 可能向错误窗口输入，建议执行时避免切换窗口 |

| 凭证泄露 | 低-中 | config.json 明文存储，共享设备或代码提交时易泄露 |

| 路径遍历 | 低 | 文件操作未完全过滤 `../` 跳转序列（建议增强输入验证） |

| 第三方 API 依赖 | 低 | 依赖 WPS 开放平台服务可用性，国内用户访问稳定 |

使用建议：首次使用务必在虚拟机/沙盒环境测试，确认 pyautogui 行为符合预期；云端功能优先等待环境变量凭证支持后再用于敏感数据场景。