by 安全扫描
OpenClaw
可疑
medium confidence该技能声明的用途(提取帧并导出视频)与其网络调用和单一凭证相符,但存在若干不一致及隐私敏感行为(自动匿名认证、自动后端连接、要求隐藏令牌输出、声明的 config-path 不匹配),安装前需谨慎。
评估建议
该技能确实如描述所言——将用户视频上传至第三方后端提取帧并返回下载链接——但需谨慎:
1) 若你尚无 NEMO_TOKEN,技能会在首次使用时自动申请匿名 token 并连接 mega-api-prod.nemovideo.ai,意味着文件可能在未获额外明确同意的情况下被发送至该服务。
2) SKILL.md 要求代理隐藏原始 API 响应和 token 值,降低对发送与返回内容的透明度。
3) 技能前言提到配置路径 ~/.config/nemovideo/,但注册元数据中未体现,暗示其可能读写本地配置目录。
安装前,请核验服务域名 mega-api-prod.nemovideo.ai,查阅其隐私/存储政策;考虑自备 NEMO_TOKEN(防止技能创建匿名 token);询问发布者上传文件保留时长及处理后媒体是否被共享。若需更高保障,请拒绝安装或在沙箱中运行,以便审计媒体上传。...详细分析 ▾
ℹ 用途与能力
该 skill 声称提取帧并导出视频,所有运行时指令均指向同一云服务(mega-api-prod.nemovideo.ai),与目的相符。然而,SKILL.md 的前置元数据列出配置路径(~/.config/nemovideo/),而 registry 元数据却未声明任何必需配置路径——二者不匹配,存在不一致。skill 还要求 agent 检测安装路径以设置 X-Skill-Platform 头;检测安装路径对帧提取并非必需,暗示对文件系统的检查超出了该功能的最小需求。
⚠ 指令范围
指令要求智能体在首次使用时自动连接外部后端,若 NEMO_TOKEN 不存在,则通过向该服务 POST 生成匿名令牌。该 Skill 会将用户视频文件上传至外部域名,并需附带归因标头。指令还规定“不向用户展示原始 API 响应或令牌值”,降低了透明度。这些行为虽与声明目的相符,但存在隐私风险(用户媒体被发送至外部服务),并赋予 Skill 在未获得明确用户同意的情况下执行网络活动的自由裁量权。
✓ 安装机制
无安装规范,无代码文件(仅指令)。从安装/执行角度看风险极低——安装步骤不会下载或写入任何内容。
ℹ 凭证需求
唯一声明的必需环境变量是 NEMO_TOKEN,适用于单服务集成。然而,SKILL.md 提供了一种在无 token 时自动获取匿名 token 的流程,意味着该 skill 可自主创建并使用凭据。frontmatter 还列出了一个配置路径(~/.config/nemovideo/),该路径在注册元数据中并未出现;若仅用于简单帧提取,要求访问配置文件显得过度,除非用于持久化会话状态。
✓ 持久化与权限
该 skill 未标记 always:true,使用平台默认设置(agent-invocable)。它指示为后续 API 调用存储 session_id,但未请求系统级权限或修改其他 skill。提供的指令中未要求持久化安装行为或特权级系统变更。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
AI Video Frames Skill v1.0.0 — 首次发布 - 通过简洁的聊天界面从用户上传的片段中提取并导出视频帧 - 自动后端配置:与云端 GPU 渲染管线完成认证并管理会话 - 支持直观提示,实现帧提取、格式导出、音频/文字叠加及额度查询等操作 - 兼容主流视频/音频/图像格式,最高 1080p、500 MB - 提供清晰的错误处理与进度反馈 - 专为快速交付设计(短片 20–40 秒),无需手动设置导出参数
● 无害
安装命令
点击复制官方npx clawhub@latest install ai-video-frames
镜像加速npx clawhub@latest install ai-video-frames --registry https://cn.longxiaskill.com