by 安全扫描
OpenClaw
安全
high confidence该技能的代码、运行指令和请求的凭证(YIJIAN_API_KEY)与发送图像/帧到百度一见服务进行视觉分析的客户端工具一致,没有发现隐藏端点或无关的凭证访问。
评估建议
["使用该技能将上传完整图像帧(可能包含面部或敏感场景内容)到百度一见服务,确认符合组织的隐私/合规规则。","像处理其他秘密一样保护 YIJIAN_API_KEY,考虑使用临时环境设置或秘密管理,共享时旋转密钥。","可视化功能可能需要编译本地模块(sharp)和 FFmpeg 用于视频帧,增加了构建时间复杂度和本地依赖。","在授予生产环境访问权限前,在沙盒中审查和测试脚本(检查 utils.mjs 中的 Authorization 头使用)。","如果观察到超出文档端点或额外环境变量的行为,请停止并进一步审计代码。"]...详细分析 ▾
✓ 用途与能力
名称/描述描述了百度一见视觉服务的客户端;所需二进制文件(node, npm)、主要环境变量(YIJIAN_API_KEY)、包含的脚本、package.json 和预设技能元数据都与该目的一致。
ℹ 指令范围
运行指令和脚本在本地图像/帧上操作,构建可视化,并向 https://yijian-next.cloud.baidu.com 发出 HTTP 请求(元数据和运行端点)。它们明确发送 Base64 编码的图像/帧、ROI/绊线几何、时间戳和 sourceId。这是为声明的函数预期的,但这是一个隐私敏感操作(上传包含面部/敏感内容的图像)。
✓ 安装机制
技能包中没有嵌入远程下载/安装机制;存在 package.json(除了开发/可选项,没有依赖),安装使用标准 npm 用法。可选本地模块(sharp)和 FFmpeg 被记录为可视化和视频处理的可选/条件要求。
✓ 凭证需求
仅需要一个 API 凭证(YIJIAN_API_KEY),这是用于 Yijian 域的 Bearer 认证的声明的主要凭证。没有请求无关的秘密或多个外部凭证。
✓ 持久化与权限
技能不是始终启用的,不请求提升的平台权限。脚本在本地文件上操作,不尝试修改其他技能的配置或系统范围的设置(本地注册/更新/删除脚本仅限于技能自己的文件)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.9.302026/3/13
版本 0.9.30 - 添加了新实用脚本:`scripts/preset-utils.mjs`。- 文档更新:现在包括根据用户意图在调用技能前筛选技能的指令。
● 无害
安装命令
点击复制官方npx clawhub@latest install baidu-yijian-vision
镜像加速npx clawhub@latest install baidu-yijian-vision --registry https://cn.longxiaskill.com
技能文档
(由于原始内容过长且包含大量不需要翻译的代码块和 Markdown 格式,以下仅提供翻译后的主要文档部分,保留原始代码块和格式)