by 安全扫描
OpenClaw
可疑
high confidence该技能基本如其所述(一个用于调用 Gemini 兼容端点的打包 CLI),但它依赖并使用了一些未在注册元数据中声明的 API 相关环境变量,且包含一个可运行脚本,会读取文件并发送请求——这种不一致以及默认密钥占位符的存在令人担忧,使用前应予以澄清。
评估建议
该 CLI 脚本看似合法实现了 Gemini 图像生成,但在安装或运行前存在若干需核对的重要不一致之处:
- 注册元数据未列出任何必需环境变量,而脚本及文档却要求 GEMINI_LOCAL_ENDPOINT、GEMINI_LOCAL_API_KEY、GEMINI_GOOGLE_ENDPOINT、GEMINI_API_KEY。请发布者明确声明所需 env 变量并指明哪一个是主凭证。
- 若脚本回退到 google provider,可能会将 GEMINI_API_KEY 发往 Google——避免在不可信运行时或已含真实密钥的 shell 中运行。建议使用绑定到 127.0.0.1 的本地 Gemini 兼容代理以实现密钥隔离。
- 脚本内含占位默认 API 密钥值 (sk-123456)。请与作者确认该值仅为无害占位,而非硬编码的在线账户凭据。
- 在授予网络权限前,亲自(或请可信者)完整审阅脚本:它用 curl 发起 HTTP 请求并写入文件,确保不会访问除配置的 GEMINI 端点外的意外远程地址。
- 若计划在共享或生产环境使用,请在隔离容器内运行,勿向运行时暴露真实 Goog...详细分析 ▾
⚠ 用途与能力
该技能声明的用途(通过捆绑的 Gemini CLI 进行图像生成/编辑)与所含脚本的行为一致:脚本构造 Gemini generateContent 请求,接受输入图像并写入图像输出。然而,注册元数据未声明任何必需的环境变量或凭据,而 SKILL.md 和脚本却依赖多个端点/密钥环境变量(GEMINI_LOCAL_ENDPOINT、GEMINI_LOCAL_API_KEY、GEMINI_GOOGLE_ENDPOINT、GEMINI_API_KEY)。这种不匹配是不合理的:安装此技能的用户应被告知需要哪些凭据/端点。
✓ 指令范围
SKILL.md 指示 agent 运行捆绑脚本,仅在排错或配置决策时读取 references/behavior.md。指令不会引导 agent 读取任意无关文件或传输无关系统数据。脚本合法读取输入图像文件并保存输出及原始 JSON——行为符合 image-generation CLI。
✓ 安装机制
没有安装规范,仓库仅包含一个打包的 Bash 脚本;不执行远程下载或包安装。与任意网络安装相比,这降低了供应链风险。脚本将作为 skill bundle 的一部分写入磁盘(已存在于包中)。
⚠ 凭证需求
脚本与文档依赖环境变量来设定 endpoint 与 key(GEMINI_LOCAL_ENDPOINT、GEMINI_LOCAL_API_KEY、GEMINI_GOOGLE_ENDPOINT、GEMINI_API_KEY),但 registry 未声明任何必需 env var 或主凭证。脚本内置默认占位本地 API key(sk-123456),可能是种子值,却酷似真实 key 格式。运行时申请 Google Gemini API key(GEMINI_API_KEY)与声明用途相称,但既未在声明中列出,又提供看似 key 的默认值,存在不一致,若配置错误可能导致真实 key 意外泄露。
✓ 持久化与权限
该技能未标记为 always:true,也未请求提升持久化权限或对其他技能及系统级代理设置的修改。允许自主调用(平台默认),但未与其他高风险权限结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/19
首次从 pluiez-agent-skills 在提交 b64745e 发布 ClawHub。
● 无害
安装命令
点击复制官方npx clawhub@latest install gemini-image-cli
镜像加速npx clawhub@latest install gemini-image-cli --registry https://cn.longxiaskill.com
技能文档
--- name: gemini-image-cli description: 使用内置的 Gemini 原生图像生成 CLI 生成与编辑图像。当用户要求 Codex 用 Gemini 创建图像、通过本地 bash CLI 使用 Gemini 图像生成、运行或调试 Gemini 图像 curl 请求、选择 Gemini 图像模型/尺寸/纵横比、查看原始图像生成响应,或排查缓慢、超时或失败的 Gemini 图像请求时使用。
# Gemini Image CLI
使用 ./scripts/gemini-image.sh 进行 Gemini 原生图像生成。优先使用此内置脚本,而非手写一次性 curl 命令。
工作流程
- 运行
./scripts/gemini-image.sh,带上用户提示及所需选项。 - 普通请求无需询问使用哪个端点;脚本自动选择提供方:优先本地 Gemini 兼容代理,其次 Google 回退。
- 普通单图生成保持默认设置:
gemini-3.1-flash-image-preview,尺寸512,纵横比16:9。 - 若更在意延迟而非最新图像质量,使用
gemini-2.5-flash-image。 - 若用户需要更强的指令遵循、文字渲染或专业级输出,使用
gemini-3-pro-image-preview。 - 多模型批量、多次重试或其他可能消耗额外配额的重复调用前需确认。
- 仅在解释提供方/安全权衡、选择非默认模型、配置本地 Gemini 兼容代理、排查缓慢或失败请求,或修改 CLI 时,才阅读
references/behavior.md。
常用命令
生成单张图像: ``bash
./scripts/gemini-image.sh "A cute orange kitten sitting on a soft blanket"
`
指定输出路径或前缀;脚本根据返回的图像 MIME 类型自动选择扩展名:
`bash
./scripts/gemini-image.sh "画两只小猫在打闹" --output ./out/kittens.png
`
使用更快模型:
`bash
./scripts/gemini-image.sh "画两只小猫在打闹" --model gemini-2.5-flash-image
`
强制使用 Google 官方端点:
`bash
./scripts/gemini-image.sh "画两只小猫在打闹" --provider google
`
强制使用本地代理端点:
`bash
./scripts/gemini-image.sh "画两只小猫在打闹" --provider local
`
使用更大输出尺寸:
`bash
./scripts/gemini-image.sh "A cinematic poster of two kittens" --size 1K --aspect 16:9
`
使用输入图像进行图像引导生成或编辑:
`bash
./scripts/gemini-image.sh "Turn this cat photo into a watercolor illustration" --image cat.jpg
` 输出约定
脚本将人类可读日志打印到 stderr,机器可读结果打印到 stdout。成功的 stdout 行:
`text
image= raw_json= text= duration_seconds=
`
仅当启用 --with-text 时才会出现 text=`。