by 安全扫描
OpenClaw
可疑
medium confidence该技能声称的用途(通过 dlazy CLI 快速将文本/图像转为视频)看似合理,但存在不一致之处,且指示代理索取并存储 API 密钥却未声明该凭据,还建议安装全局 npm CLI——这些缺口引发了重大的安全与隐私疑虑。
评估建议
该技能似乎封装了第三方 CLI(@dlazy/cli)用于生成短视频,因此可能需要 dlazy API 密钥并全局安装 npm 包。在安装或提供任何凭据前:
1) 除非明确接受风险,否则不要在聊天中粘贴 API 密钥——优先在本地配置(例如在 CLI 或环境中自行设置)。
2) 在 npm 注册中心验证该包(@dlazy/cli@1.0.5)及其源码仓库(检查发布者、README 和近期版本)。
3) 尽量避免安装来源不明的全局包;可考虑在沙箱或容器内运行 CLI。
4) 询问技能发布者:为何注册元数据未列出所需凭据,为何安装指令仅出现在 SKILL 元数据中。
若无法验证包及发布者,请将该技能视为高风险,避免共享凭据或执行全局安装。...详细分析 ▾
⚠ 用途与能力
名称/描述匹配一个生成短视频的 CLI。请求 npm/npx 可信,因为技能期望一个已发布的 CLI,但 SKILL 元数据包含 npm install 行,而注册表安装规范缺失——存在不一致。技能还指示代理请求并保存 API 密钥,尽管未声明任何凭据或 primaryEnv。
⚠ 指令范围
SKILL.md 明确指示 agent 运行 'dlazy veo-3.1-fast' CLI,要求用户输入 API key,再执行 'dlazy auth set <key>' 保存。让用户通过聊天传输密钥并保存,属于敏感行为,而声明的需求中未体现。说明还提到读取本地图片文件(符合预期)以及将用户导向 dlazy.com 链接(符合该服务预期)。
ℹ 安装机制
未注册正式的安装规范,但嵌入的元数据建议使用 `npm install -g @dlazy/cli@1.0.5`。安装全局 npm 包属于中等风险,因为它可在主机上执行任意代码;不过来源是正常的 npm 包名(非短链接或 IP)。元数据中指示全局安装却缺少注册表安装条目,这一实现不一致值得质疑。
⚠ 凭证需求
该技能在元数据中未声明任何环境变量或主凭证,却明确指示代理向用户索取并存储 dlazy API key。这种不匹配过于严重:视频生成类技能确实需要 API key,但应在元数据中声明。要求用户将密钥粘贴到聊天中并通过 CLI 保存,存在隐私风险。
ℹ 持久化与权限
always:false 与 agent 调用均属正常。但该技能推荐的 global npm install 与 `dlazy auth set` 会持久修改系统(全局二进制与凭据/配置)。这种持久化对 CLI 客户端虽属预期,却未在 registry 元数据中声明,若 CLI 被恶意利用或攻破,影响范围将更大。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
- dlazy-veo-3.1-fast 技能首次发布 - 借助 Google Veo 3.1 Fast 实现短视频的快速响应与生成 - 支持文本到视频、图像到视频生成,可自定义尺寸、分辨率、帧数与组件 - 提供命令示例及详尽的错误处理说明 - 包含余额不足或缺失 API key 等关键场景的 agent 处理指引
● Pending
安装命令
点击复制官方npx clawhub@latest install dlazy-veo-3-1-fast
镜像加速npx clawhub@latest install dlazy-veo-3-1-fast --registry https://cn.longxiaskill.com