by 安全扫描
OpenClaw
安全
medium confidence该技能的请求和运行指令与云视频编辑服务一致(仅请求单个服务令牌并描述上传、编辑和导出的API调用),但技能来源未知,存在小的元数据/指令不匹配,需注意。
评估建议
该技能内部一致性良好,但注意:包无主页,源/所有者身份未知——在上传敏感素材前,请验证信任nemo-video服务。如果安装/使用,请考虑:(1)仅提供明确信任的NEMO_TOKEN或让技能获取匿名令牌(短期),(2)了解所有上传视频和元数据将发送到https://mega-api-prod.nemovideo.ai,(3)元数据提及本地配置路径并要求代理检测安装路径用于属性头——这很奇怪但不明显恶意;如果您喜欢,可以拒绝文件系统访问,(4)监控首次使用期间的网络活动或使用非敏感样本视频进行测试。如果需要更高的保证,请要求技能作者提供主页、隐私政策和可验证的发布者身份。...详细分析 ▾
✓ 用途与能力
名称/描述(云视频编辑器)与声明的主要凭证(NEMO_TOKEN)和SKILL.md中的API端点一致。所需功能(上传视频、创建会话、渲染)与声明的目的匹配。
ℹ 指令范围
SKILL.md 保持在视频编辑范围内(会话创建、SSE用于编辑、上传、导出、信用/状态检查)。它指示代理在没有NEMO_TOKEN时获取匿名令牌并包含属性头。小范围异常:元数据列出一个配置路径(~/.config/nemovideo/),但指令不解释如何读取它,技能要求代理检测安装路径以设置X-Skill-Platform(需要检查文件系统路径),这对于编辑不是严格必要的。这些不是关键问题,但值得注意的不匹配。
✓ 安装机制
仅指令的技能,无安装规格或代码文件——安装风险最低。所有运行时操作都是对描述的API主机的网络调用;无需下载或由安装程序写入。
✓ 凭证需求
仅声明并使用一个必需的环境变量(NEMO_TOKEN)。令牌对于API支持的编辑服务是合理的。SKILL.md还记录了如果没有令牌则获取匿名令牌,这与服务需要凭证相匹配。
✓ 持久化与权限
该技能不请求always: true,不安装组件,也不修改其他技能或系统范围的设置。允许自主调用(平台默认),但不与高级权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/10
- 编辑器AI for Business的初始发布。 - 通过基于云的工具快速编辑和导出企业和营销视频,无需专业编辑技能。 - 支持上传MP4、MOV、AVI或WebM文件(最多500MB),描述所需编辑并在1-2分钟内接收1080p MP4输出。 - 内置工作流包括快速编辑、批量处理和迭代精炼,支持上传和文本指令。 - 自动处理后端连接、会话创建和令牌管理(包括新用户的免费启动令牌)。 - 支持主要视频、图像和音频格式,提供清晰的指南和错误处理用于文件大小、格式和账户问题。
● 无害
安装命令
点击复制官方npx clawhub@latest install editor-ai-for-business
镜像加速npx clawhub@latest install editor-ai-for-business --registry https://cn.longxiaskill.com
技能文档
请参见下方翻译的SKILL.md内容(由于字符限制,仅提供关键部分翻译,完整内容请参考原始文档)