by 安全扫描
OpenClaw
可疑
medium confidence纯指令技能,将用户视频 URL 路由到第三方付费 API — 与其描述一致但缺少支付/身份验证细节,并引发隐私/数据泄露风险。
评估建议
该技能似乎调用第三方付费 API 来分析视频。安装或使用前:1) 在确认提供商的隐私、数据保留和安全策略之前,不要发送敏感或私人视频。2) 询问作者支付方式以及需要哪些凭证(如果有)— 该技能目前缺少计费/身份验证说明。3) 验证域名 (x402.ntriq.co.kr) 和服务信誉、TLS 证书以及服务条款。4) 如需测试,请使用非敏感示例视频并监控网络调用。5) 如需设备端或私有处理,优先选择明确支持本地处理或提供明确企业/合规控制的技能。如果作者能提供显示身份验证和数据保留政策的 API 文档,将减少这些顾虑。...详细分析 ▾
✓ 用途与能力
名称、描述和运行时指令都描述了一个远程视频分析 API,SKILL.md 显示了预期输入 (video_url) 和输出;不请求本地二进制文件或安装与纯 API 技能一致。
⚠ 指令范围
指令指示代理将视频数据(通过 video_url)POST 到外部端点 (https://x402.ntriq.co.kr/video-intel-mcp)。这对于托管视频智能服务是预期的,但该技能未记录视频内容如何进行身份验证/支付或视频是否被存储/保留 — 如果代理将敏感用户视频发送到未知第三方,则存在隐私/数据泄露风险。
✓ 安装机制
无安装规范和代码文件 — 最低风险的安装面。该技能本身不会下载或写入任何内容到磁盘。
⚠ 凭证需求
SKILL.md 广告宣传一个付费端点(Base 上的 USDC,每次调用 $0.05),但该技能声明不需要凭证、钱包集成详情、API 密钥或计费环境变量。这种不匹配未作说明:代理需要一个支付机制(钱包/私钥、签名代理或 API 密钥)才能实际调用付费端点,但该技能未提供任何指导或所需的环境变量。
✓ 持久化与权限
该技能不请求持久存在 (always:false),也不修改系统或其他技能。允许自主调用(默认),但这本身不是额外的权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
- ntriq-video-intelligence-mcp 初始版本发布。 - 提供目标检测、场景分类、活动识别和带时间戳输出的视频摘要。 - 支持灵活的分析任务和可调参数(置信度阈值、帧采样率)。 - 返回执行摘要和结构化检测结果,适用于广泛的视频内容。 - 适用于安全自动化、内容审核和高光识别等用例。 - 通过 x402 微支付 API 端点访问。
● 无害
安装命令
点击复制官方npx clawhub@latest install ntriq-video-intelligence-mcp
镜像加速npx clawhub@latest install ntriq-video-intelligence-mcp --registry https://cn.longxiaskill.com镜像同步中
技能文档
未提供 SKILL.md 文档内容