by 安全扫描
OpenClaw
可疑
medium confidence该技能基本如描述所示(调用 nemo video API 将图片转为可下载的 MP4),但凭证与配置路径的声明及处理方式存在细微内部不一致,安装前需澄清。
评估建议
此技能似乎会调用外部 nemovideo.ai 服务,将你上传的图片渲染成视频,与其描述相符。安装或启用前,请:(1) 询问作者 NEMO_TOKEN 及会话 ID 如何、存储于何处(内存 vs 磁盘 ~/.config/nemovideo/),若写入非预期位置则拒绝;(2) 若无 NEMO_TOKEN,确认你同意技能代你生成匿名 token,且其权限与生命周期可接受;(3) 确认后端域名 mega-api-prod.nemovideo.ai 为官方服务,且上传内容仅含你提供的图片;(4) 若介意 agent 检查安装路径以设置 X-Skill-Platform,可要求提供无此行为的版本。若开发者无法说明配置/token 存储方式及为何需要可由技能自动创建的必要 env var,视为危险信号,避免安装。...详细分析 ▾
ℹ 用途与能力
名称/描述符合说明:该 skill 上传图片并调用外部 nemovideo.ai 渲染 API 生成可下载视频。但 SKILL.md 元数据列出配置路径 ~/.config/nemovideo/,而注册表摘要显示无需配置路径——两者不一致。此外,skill 将 NEMO_TOKEN 声明为主要凭证,却包含完整的匿名令牌生成流程,因此把该环境变量设为必填具有误导性。
✓ 指令范围
指令范围限定为:上传用户图像、创建会话、通过 SSE 流式传输编辑、轮询渲染状态并返回下载 URL。该 skill 不会指示读取任意系统文件或无关凭据。一个小细节:它通过检查安装路径(如 ~/.clawhub/)推导 X-Skill-Platform,意味着 agent 可能检查特定文件系统路径——应加以限制,避免收集不必要的主机信息。
✓ 安装机制
此为纯指令模式,不含安装规范或代码文件,因此安装程序不会向磁盘写入任何内容,从而降低了安装风险。
⚠ 凭证需求
该 skill 将 NEMO_TOKEN 列为必需/主要环境变量,但运行时指令却在未提供时显式生成匿名 token,因此强制持久化环境 token 属于过度要求,至少具有误导性。metadata/configPaths 的不一致(registry: none vs SKILL.md: ~/.config/nemovideo/)也引发疑问:token/session 究竟存储于何处,以及该 skill 是否期望对配置目录拥有文件系统访问权限。
✓ 持久化与权限
always:false,且允许调用模型(平台默认)。该技能确实要求存储 session_id 和 token 以便后续调用,这对于远程 API 集成属正常行为;它不会请求系统级或跨技能的配置变更。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
Image to Video Download Free 初始发布。 - 瞬间将上传图片(JPG、PNG、WEBP、HEIC,最大 200MB)转为可下载的 1080p MP4 视频。 - 无需手动编辑,上传照片并描述需求即可免费生成视频。 - 新匿名用户获赠 100 免费积分;token 自动配置,后端连接无缝。 - 专为云端高速渲染设计,数秒完成 MP4 下载,方便社交媒体分享。 - 内置状态、积分、批量处理及常见操作错误提示。
● 无害
安装命令
点击复制官方npx clawhub@latest install image-to-video-download-free
镜像加速npx clawhub@latest install image-to-video-download-free --registry https://cn.longxiaskill.com