by 安全扫描
OpenClaw
可疑
medium confidence该技能的运行时指令大多符合基于CLI的视频生成用例,但存在几个不一致和风险指令——最重要的是,它要求代理收集和存储用户的API key,而注册元数据没有声明任何凭证要求,并且安装故事不一致。
评估建议
此技能似乎调用第三方 dlazy CLI 创建视频,与其描述一致,但安装/使用前请注意三点:
1. SKILL.md 让代理要求你在聊天中粘贴 dlazy API 密钥并运行 `dlazy auth set <key>`。除非完全信任代理和平台,否则切勿在公开聊天中粘贴敏感 API 密钥;优先使用平台的密钥存储或本地运行 CLI。
2. 注册表未声明任何必需凭据,而技能却需要 API 密钥;在凭据要求明确前,请联系发布者或避免使用该技能。
3. SKILL.md 建议全局安装 `@dlazy/cli`,但注册表无正式安装规范;安装前请在 npm(或 GitHub)验证包来源,并优先手动检查或在受控环境安装。
若决定继续,请询问:
- `dlazy auth set` 将 API 密钥存储在何处?
- 技能是否支持无凭据的 dry-run 模式?
- 能否本地运行 CLI,仅向代理提供生成的 URL,而非通过聊天发送密钥?...详细分析 ▾
ℹ 用途与能力
名称/描述(使用 Wan 2.6 R2V 从参考图像生成视频)与 CLI 命令文档(dlazy wan2.6-r2v)及所需二进制文件(npm/npx)一致,支持安装 CLI。但 SKILL.md 内元数据包含 npm install -g @dlazy/cli@1.0.5,而 registry 无此安装规范——该不匹配需澄清。
⚠ 指令范围
SKILL.md 指示 agent 运行 dlazy CLI 并读取图片路径/URL(符合预期)。但它同时强制 agent 在聊天中要求用户提供 dlazy API key,并执行 `dlazy auth set <key>` 保存,这意味着 agent 将接收用户秘密。要求用户“发给你”范围过宽,增加凭据泄露/外泄风险,且该行为在注册元数据中既无约束也未记录。
ℹ 安装机制
注册表元数据中未提供 install spec,但 SKILL.md 的内嵌元数据建议通过 npm 全局安装 @dlazy/cli。仅含指令的技能通常不会执行安装;在 SKILL.md 内出现安装命令(却未列为显式 install spec)属于不一致,可能被代理或操作者误用,导致意外的全局 npm 安装。
⚠ 凭证需求
注册表未声明任何必需的环境变量或主凭证,但说明却明确要求 dlazy API 密钥(错误处理及恢复流程提示用户获取并输入 API 密钥)。这种缺失极不合理:技能实际上需要密钥,却未将其列为必需凭证或 primaryEnv。
ℹ 持久化与权限
该 skill 并非始终启用,也未声明 config 路径。但指令要求 agent 执行 `dlazy auth set <key>`,这会将凭据持久化到 dlazy CLI 的配置(本地文件系统)—— 一种在注册元数据中未记录的持久化方式。若用户未被明确告知密钥存储位置及如何撤销,将带来中等风险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
- 发布dlazy-wan2.6-r2v(v1.0.0)的初始版本。 - 使用Wan 2.6 R2V模型,从参考图像实现准确的连续视频生成。 - 提供命令行选项,用于设置提示、图像输入(最多10个)、大小、时长、镜头类型、水印和高级控制。 - 包括清晰的错误处理说明和缺失API key或信用不足时的代理提示。 - 成功后输出视频URL。
● 无害
安装命令
点击复制官方npx clawhub@latest install dlazy-wan2-6-r2v
镜像加速npx clawhub@latest install dlazy-wan2-6-r2v --registry https://cn.longxiaskill.com 镜像可用
技能文档
使用 Wan 2.6 R2V 根据参考图像准确生成连续视频。
触发关键词
- wan 2.6
- 参考图像到视频
- 生成视频
使用方法
对代理的关键指令:运行dlazy wan2.6-r2v 命令来获取结果。
``bash
dlazy wan2.6-r2v -h
选项:
--prompt 提示
--generation_mode 生成模式 [默认:components] (选项: "components")
--images 图像 [图像:url 或本地路径] (最多 10 个)
--size 尺寸 [默认:7201280] (选项: "1280720", "7201280", "960960", "1088832", "8321088", "19201080", "10801920", "14401440", "16321248", "1248*1632")
--duration 持续时间(秒) [默认:5] (选项: "2", "3", "4", "5", "6", "7", "8", "9", "10")
--shotType 射击类型 [默认:single] (选项: "single", "multi")
--watermark 水印 [默认:false] (选项: "true", "false")
--input JSON有效载荷:内联字符串,@文件或 - (标准输入)
--dry-run 打印有效载荷 + 成本估算而不调用 API
--no-wait 立即为异步任务返回 generateId
--timeout 等待异步完成的最大秒数(默认: "1800")
-h, --help 显示命令的帮助
`
输出格式
`json
{
"ok": true,
"kind": "urls",
"data": {
"urls": [
"https://oss.dlazy.com/result.mp4"
]
}
}
`
命令示例
`bash
# 基本调用:
dlazy wan2.6-r2v --prompt '提示文本' --image '/path/to/image.png'
# 复杂调用:
dlazy wan2.6-r2v --prompt '提示文本' --image 'https://oss.dlazy.com/image.png'
`
错误处理
| 代码 | 错误类型 | 示例消息 |
| ---- | ---------------------------------- | ------------------------------------------------------------------------------------------------------------------------ |
| 401 | 未经授权(无 API 密钥) | ok: false, code: "unauthorized", message: "API 密钥丢失或无效" |
| 501 | 缺少必需参数 | error: required option '--prompt ' not specified |
| 502 | 本地文件读取错误 | Error: Image file/Video file not found: C:\path\to\your\file |
| 503 | API 请求失败(无余额) | ok: false, code: "insufficient_balance" |
| 503 | API 请求失败(服务器错误) | HTTP status code error (500 server crash) |
| 504 | 异步任务执行失败 | === Generation Failed === / {Specific error reason returned by backend, for example "Prompt violates safety policy"} |
代理关键指令:code: "insufficient_balance"
1. 如果执行结果返回,您必须明确告知用户其信用额度不足,并指导他们充值:https://dlazy.com/dashboard/organization/settings?tab=creditscode: "unauthorized"
2. 如果执行结果返回或指示缺少 API 密钥,您必须告知用户从 https://dlazy.com/dashboard/organization/api-key 获取其 API 密钥并将其发送给您。一旦他们提供它,请使用dlazy auth set ` 保存它并恢复任务。