by 安全扫描
OpenClaw
可疑
high confidence该技能声称使用 Google Veo 3.1,实则要求安装并使用第三方 dlazy CLI,并指示 agent 收集并保存用户 API 密钥——这些行为在注册元数据中未充分披露,存在隐私与安装风险。
评估建议
该技能可疑:描述提到 Google Veo,实际却用 dlazy CLI 与 dlazy.com;要求粘贴 API key 到聊天并全局安装 @dlazy/cli,均涉及隐私与代码执行风险。安装或使用前:1) 勿在聊天中粘贴敏感 key,优先用安全环境变量或已审核集成;2) 在 npm registry 验证 @dlazy/cli 包及其发布者,检查代码与安装脚本;3) 确认 dlazy 是否为 Google 模型授权前端(Google 声明可能仅为营销);4) 若必须尝试,在隔离 VM 或容器内执行 npm install 及 CLI 命令;5) 向发布者索要明确安装规范与隐私/安全说明(key 存储位置、保留期限、是否外传文件)。...详细分析 ▾
⚠ 用途与能力
该技能描述宣传的是“Google Veo 3.1”,但运行时指令和示例仅引用第三方 CLI(@dlazy/cli)、dlazy.com 和 oss.dlazy.com。这种 Google 品牌与 dlazy 后端的不匹配可能误导用户。注册表未显示正式安装规范,而 SKILL.md 的 frontmatter 却包含 npm 全局安装 @dlazy/cli@1.0.5 的命令——声明元数据与指令再次不一致。
⚠ 指令范围
SKILL.md 指示 agent 运行 dlazy CLI,并(关键地)要求用户提供 API key,在聊天中接收后执行 `dlazy auth set <key>` 保存,再继续。让 agent 通过聊天索取并持久化存储用户 API key,超出了仅运行 CLI 的范围,构成明确的敏感数据收集途径。除此之外,对图片的文件/路径使用方式与视频生成工具一致。
⚠ 安装机制
尽管注册表未列出安装规范,但技能 frontmatter 推荐使用 `npm install -g @dlazy/cli@1.0.5`。全局 npm 安装会向磁盘写入代码,并可能执行包中的任意安装脚本——风险高于纯指令型技能。该 npm 包未提供来源或维护者验证信息。
⚠ 凭证需求
注册表未声明任何必需的环境变量或凭据,但使用说明明确要求提供 API 密钥(并指示代理让用户粘贴)。这存在不一致:实际需要凭据却未声明。该 Skill 还引导用户前往 dlazy.com 的 URL 获取密钥和付款,表明凭据用于 dlazy 服务(而非 Google)。
ℹ 持久化与权限
始终为 false,且该 skill 不会请求系统提权。然而,指令要求 agent 执行 `dlazy auth set <key>`,这可能导致 CLI 在主机上持久化凭据(例如写入配置文件)。该持久化仅限于 CLI 配置,但未在元数据中声明,可能令用户意外。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
dlazy-veo-3.1 技能首发 - 通过 CLI 使用 Google Veo 3.1 生成高质量电影级视频 - 支持纯文本生成视频与图片生成视频双模式 - 可自定义视频尺寸、分辨率及多种输入方式 - 提供清晰的命令用法与错误处理指引 - 内含余额不足与 API 密钥认证的关键用户说明
● 无害
安装命令
点击复制官方npx clawhub@latest install dlazy-veo-3-1
镜像加速npx clawhub@latest install dlazy-veo-3-1 --registry https://cn.longxiaskill.com