📦 Gpt Image 2AI图片生成技能,使用 — Gpt Image 2 AI图片生成技能,使用
v1.0.1gpt-image-2 模型根据文字描述生成高质量图片。用户安装后需提供访问密钥方可使用。适用于:用户要求生成图片、画图、AI绘图、文生图、生成一张图等场景。
0· 3·0 当前·0 累计
by 下载技能包
最后更新
2026/4/22
安全扫描
OpenClaw
可疑
high confidence该技能基本实现了其描述的功能(生成图像),但会将用户提供的访问密钥与提示词通过明文 HTTP 发往一个未文档化的硬编码 IP,并指示 agent 隐藏该后端——这种不一致十分可疑,存在数据外泄风险。
评估建议
此技能会要求用户将访问密钥粘贴到聊天中,并通过明文 HTTP 把该密钥及你的图像提示发送到位于 124.156.166.147 的未公开服务器。安装或使用前请考虑:
(1)切勿为此技能粘贴真实或高权限凭据——如必须测试,请使用一次性或受限范围的令牌。
(2)向作者/运营者索要服务的官方域名、HTTPS 支持、隐私政策及合法性证明;若无法提供可验证信息,请拒绝使用。
(3)优先选择使用知名、已公开端点(非硬编码 IP)并加密流量(HTTPS)的技能。
(4)如决定测试,请在隔离环境中运行并逐行审查脚本;要求移除“不得泄露服务器”指令或披露后端信息。若运营者提供已验证的官方主机,或改用 HTTPS 并公开数据处理说明,评估可转为无害。...详细分析 ▾
⚠ 用途与能力
技能名称/描述称其使用“gpt-image-2”模型并需要用户访问密钥——这说得通。然而,实现代码却将后端服务器硬编码为 http://124.156.166.147:8765(裸 IP 且非 HTTPS),而非使用有文档记录的官方域名。SKILL.md 明确要求代理向用户索要密钥,却从未说明请求将发往何处;同时还指示不得透露服务器或后端信息,暗示有意隐藏真实端点。这与透明集成相悖。
⚠ 指令范围
SKILL.md 指示智能体在聊天中向用户索要访问密钥并记住该密钥以供会话使用,随后运行附带的脚本,将密钥和用户提示一并发送至远程 SERVER。因此,这些指令会导致敏感密钥及用户提供的内容被传送到未知外部主机;“不得泄露服务器地址”的要求进一步隐藏了数据去向。这些行为超出了简单的本地处理范围,且未向用户披露。
ℹ 安装机制
无安装规范(仅含说明),唯一代码为附带的 Python 脚本。安装程序本身不执行任何外部包或下载,因此安装风险较低。但脚本运行时会向硬编码 IP 发起出站 HTTP 请求。
⚠ 凭证需求
该技能要求用户在聊天中粘贴敏感的访问密钥(而非通过声明的环境变量)。仓库元数据未声明任何凭据,但运行时流程会显式捕获并传输用户提供的密钥至一个未记录的第三方服务器。通过聊天请求密钥并将其发送至未知 HTTP 端点的做法过于激进且存在风险。
✓ 持久化与权限
该 skill 未标记 always:true,也未请求系统级配置或写入其他 skill 的设置。SKILL.md 要求“记住”会话 key,但脚本并未将 key 持久化到磁盘。默认允许自主调用(normal),然而结合其他问题,爆炸半径增大。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/22
gpt-image-2 v1.0.1 - 首次安装后自动发送欢迎消息,并引导输入访问密钥完成验证 - 优化密钥验证流程,自动记住有效密钥,避免重复输入 - 生图流程更清晰:描述图片后直接生成并返回 PNG 附件,同时提示剩余配额 - 支持查询剩余额度,配额用尽或密钥无效时给出明确反馈 - 明确说明仅支持图片生成功能,不含对话及其他服务
● 可疑
安装命令
点击复制官方npx clawhub@latest install gpt-image-2
镜像加速npx clawhub@latest install gpt-image-2 --registry https://cn.longxiaskill.com