by 安全扫描
OpenClaw
可疑
medium confidence技能的说明与其声明的用途(调用 Ark Seedance 生成短视频)一致,但已发布的元数据未声明所需的 ARK_API_KEY 环境变量,且存在较小的作用域/隐私面(将本地商品图片发送至远程 API),安装前请复查。
评估建议
安装前须知:
1. 确认技能元数据已更新,声明 ARK_API_KEY 为必需凭据(SKILL.md 已要求,但 registry 元数据未声明)。
2. 了解商品图片(本地文件)将上传至 https://ark.cn-beijing.volces.com —— 请审阅提供商的隐私与保留政策,避免发送敏感图片。
3. 将 ARK_API_KEY 权限降至最低(若平台支持,请创建限定作用域的密钥),勿复用高权限密钥。
4. 核实费用预估,并确保在提交前提示用户确认费用。
5. 如需更高保障,请向作者索要出处(主页/源码)或已签名的发布者身份;缺少源码/主页会降低可追溯性。...详细分析 ▾
✓ 用途与能力
名称/描述说明通过火山方舟(Ark)/ Seedance 2.0 生成第一人称产品视频,SKILL.md 包含与此目的对应的 API endpoint、模型名称、请求/响应格式及示例代码。
ℹ 指令范围
运行时指南聚焦于构建提示、编码并上传产品图像、创建/查询任务以及估算费用。指南要求读取本地图像文件并将其(base64 或 URL)发送至 Ark;这是所述功能所必需的,但意味着用户数据(产品图像)将被传输至外部服务,需用户接受。
✓ 安装机制
无安装配置或外部下载——仅基于指令的技能,安装程序不会向磁盘写入任何内容。这是最低安装风险。
⚠ 凭证需求
SKILL.md 需要 ARK_API_KEY(读取环境变量 ARK_API_KEY)并展示了 Authorization: Bearer 的用法,但注册元数据中未列出任何必需的环境变量 / 主要凭据。这种元数据与说明的不一致属于 incoherence,应予以修正;除此之外,该技能仅请求这一凭据,与其用途相称。
✓ 持久化与权限
技能并非始终启用,也不会请求提升或持久的系统级权限。允许自主调用(平台默认),但不会与其他高风险指标结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.2.02026/4/20
安全修复:API Key 全部改为环境变量
● 无害
安装命令
点击复制官方npx clawhub@latest install huo15-influencer-video-skill
镜像加速npx clawhub@latest install huo15-influencer-video-skill --registry https://cn.longxiaskill.com镜像同步中