by 安全扫描
OpenClaw
可疑
medium confidence该技能与一个基于 CLI 的 Suno 音乐生成器保持一致,但其运行时指令要求智能体通过聊天获取并保存用户的 API 密钥,而清单中未声明任何凭据需求——这是一个不一致且有风险的设计选择。
评估建议
该技能封装了第三方 CLI(npm 包 @dlazy/cli)用于生成音乐。安装或使用前请注意:
1) 切勿在聊天中粘贴 API 密钥或其他机密——技能会明确要求你“发送”API 密钥,此举不安全。
2) 请要求发布者将声明的凭据需求写入 manifest(primaryEnv),而非在聊天中共享机密。
3) 全局安装前,先在 npmjs.org 查看该 npm 包(@dlazy/cli)的源码/仓库及评价;优先在隔离环境或容器内安装。
4) 若必须使用服务,请在本地设置凭据(例如在终端自行运行 dlazy auth set <key>),而非将其发送给 agent。
5) 确认 dlazy.com 与 oss.dlazy.com 的合法性,并查阅其隐私/安全文档及计费说明(说明中提及充值积分)。...详细分析 ▾
⚠ 用途与能力
名称/描述声称这是一个用于 Suno 风格音乐生成的 CLI 封装。声明的必需二进制文件(npm、npx)与元数据安装命令(npm install -g @dlazy/cli@1.0.5)均与此目的相符。然而,该技能的运行说明要求提供 API 密钥(dlazy API),而注册元数据却未声明任何必需凭据或 primaryEnv,导致声明需求与实际运行需求不一致。
⚠ 指令范围
SKILL.md 指示 agent 运行外部 'dlazy' CLI,并包含显式的“AGENT CRITICAL INSTRUCTION”,要求 agent 让用户去网页控制台获取 API key 并“发给你”,以便 agent 执行 'dlazy auth set <key>'。这诱导 agent 在聊天中索要密钥——属于范围蔓延,带来直接的数据泄露风险,而描述集成本身并不需要这么做。其余指令(处理 insufficient_balance、unauthorized)对 CLI 封装来说是合理的。
ℹ 安装机制
注册表安装块中没有正式的安装规范,但元数据推荐执行 `npm install -g @dlazy/cli@1.0.5`。从公共注册表安装 npm 包是常见做法(中等风险)。由于这是仅含指令的技能,没有附带代码可供审查;在全局安装前,请自行验证该 npm 包的来源(仓库、维护者、包内容)。
⚠ 凭证需求
技能清单未声明任何必需的环境变量或主凭据,但指令明确要求 API key,并指示代理向用户索取并本地保存。通过聊天索要用户密钥与声明需求不符,存在实际与安全层面的不一致。
✓ 持久化与权限
该技能未请求 'always: true',无操作系统限制,也未声明或看似修改其他技能的设置。要求运行 'dlazy auth set <key>' 会在本地为 CLI 存储凭据,这对基于 CLI 的集成属常规操作,但代理主动索取密钥的指令才是令人担忧之处,而非 manifest 中的任何特殊权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
- dlazy-suno.music 技能首次发布 - 使用 Suno AI,根据歌词或风格提示自动生成带人声与伴奏的完整歌曲 - 支持“灵感”与“自定义”模式,可选纯音乐、自定义标题、标签及提示词 - 针对 API key 与积分问题提供结构化错误处理与用户指引 - 触发关键词:suno music、generate song、ai music、write a song
● 无害
安装命令
点击复制官方npx clawhub@latest install dlazy-suno-music
镜像加速npx clawhub@latest install dlazy-suno-music --registry https://cn.longxiaskill.com