by 安全扫描
OpenClaw
安全
medium confidence该技能的指令、需求和行为在本地图像压缩助手中内部一致,但它依赖运行一个未经审查的 Docker 镜像(zhaoolee/bbduck:latest),执行前请务必在本地验证。
评估建议
该技能如描述所示:调用本地 bbduck 服务,以视觉无损默认设置压缩图像,并读取流式日志。使用前请注意,README 建议运行 `docker run zhaoolee/bbduck:latest`——拉取并运行该容器将在你的机器上执行第三方代码。若决定运行,请验证镜像来源(所有者、Docker Hub 页面、镜像摘要),在沙箱或隔离环境中运行,或如有源码可自行构建。同时确认仅上传需要压缩的图像(服务本地运行于 127.0.0.1),且未使用任何意外的外部端点。...详细分析 ▾
✓ 用途与能力
名称/描述(本地视觉无损图像压缩、流式日志、ZIP 下载)与 SKILL.md 和 README 保持一致。该 skill 仅需与本地 bbduck 服务通信并处理图像文件,与其声明的用途一致。
✓ 指令范围
SKILL.md 仅允许调用本地端点(http://127.0.0.1:28642)、上传用户提供的图像文件、读取 NDJSON 流日志以及请求 ZIP 下载。它不会指示读取任意系统文件、访问无关的环境变量或将数据发送到外部端点。
ℹ 安装机制
没有正式的安装规范(仅提供说明),但 README/SKILL.md 建议从 Docker Hub 运行镜像(docker run -d -p 28642:8000 zhaoolee/bbduck:latest)。拉取并运行未经审查的容器是主要运维风险,因为它会在宿主机上执行第三方代码;本地服务通常如此,但应予以注意。
✓ 凭证需求
该 skill 未声明任何必需的环境变量、凭据或配置路径。运行时指令仅基于用户提供的镜像和本地 HTTP 服务运行,不会请求任何无关的密钥或服务凭据。
✓ 持久化与权限
该技能为仅指令型,未标记为 always:true。它不请求常驻,也不修改其他技能的配置。允许自主调用(平台默认),且未与其他敏感权限组合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.2.22026/4/21
简化 ClawHub 标签,聚焦核心价值:视觉无损图像压缩。
● Pending
安装命令
点击复制官方npx clawhub@latest install bbduck
镜像加速npx clawhub@latest install bbduck --registry https://cn.longxiaskill.com