by 安全扫描
OpenClaw
可疑
medium confidence该技能的高层级目标(通过 CLI 将图像转为视频)看似合理,但运行时指令要求智能体收集并持久化 API key,并引用 npm 全局安装,而注册元数据并未声明这些凭据或安装——这种不匹配以及对密钥的隐式请求令人担忧。
评估建议
该技能似乎会调用第三方 CLI(dlazy)并要求代理向你索取 dlazy API key 并保存。在安装或提供任何密钥前,请:(1) 除非信任提供方并清楚密钥存储位置,否则勿在聊天中粘贴 API key;优先在本地自行运行 CLI,仅提供文件/URL;(2) 核实 npm 包 @dlazy/cli(作者、仓库、近期活动)及域名 dlazy.com/oss.dlazy.com;(3) 如可能,优先创建受限或临时 API key;(4) 向技能所有者索要明确的安装规范及“必须提供 API key”的声明(注册表应列出所需 env/凭据);(5) 避免在共享系统全局安装 npm,或在隔离环境(容器/VM)中安装,运行前检查包代码。提供上述证据(npm 包链接/仓库、主页、明确所需凭据)可提升信任度,评估结果可能改为良性。...详细分析 ▾
ℹ 用途与能力
声明的用途(将图像转换为视频)与名为“dlazy viduq2-i2v”的 CLI 相符,但注册元数据未列出所需凭据,而 SKILL.md 明确需要 API 密钥(处理 401/“未授权”),且其元数据字符串中包含安装命令(`npm install -g @dlazy/cli@1.0.5`),却未在技能安装规范中体现——存在不一致。
⚠ 指令范围
指令明确要求 agent 向用户索要 API key,让用户把 key 发给 agent,再运行 `dlazy auth set <key>` 保存。这等于让 agent 在对话中收集并持久化用户秘密。虽然服务 CLI 确实需要 API key,但 skill 应事先声明该需求;让 agent 在聊天中索要秘密会扩大其权限与风险。
ℹ 安装机制
这是一个仅含指令的技能(注册表中无安装规范),但 SKILL.md 元数据建议全局安装 npm 包(@dlazy/cli@1.0.5)。全局安装公共 npm 包属中等风险行为(会执行来自 npm 注册表的代码并创建全局二进制文件)。缺少显式的注册表安装规范,且无权威主页/仓库可供验证,进一步增加了不确定性。
⚠ 凭证需求
该技能在注册元数据中未声明任何必需的环境变量或主要凭据,却在说明中通过让代理获取并保存 API 密钥来处理“未授权”情况。要求用户暴露/存储密钥却未声明,属于过度要求,应明确说明。未索要其他无关凭据,但缺失声明是明显警示。
ℹ 持久化与权限
always:false,agent 调用正常。但该 skill 通过 CLI 命令 `dlazy auth set <key>` 将 API key 持久化存储,导致凭据在主机上留存。对 CLI 集成而言此行为合理,但 skill 应说明 key 的存储位置与方式,并在索取密钥前向用户明确提示。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
dlazy-viduq2-i2v 初始版本发布。 - 使用 Vidu Q2 image-to-video 模型将静态图片转为动态视频。 - 提供 CLI,支持灵活设置 prompt、图片、音频、时长、比例、分辨率、水印等参数。 - 包含详尽的错误处理与指南,解决额度不足或缺失 API key 等问题。 - 成功时输出视频链接。
● 无害
安装命令
点击复制官方npx clawhub@latest install dlazy-viduq2-i2v
镜像加速npx clawhub@latest install dlazy-viduq2-i2v --registry https://cn.longxiaskill.com