by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和指令与其声明的目的(通过 Google Veo API 生成视频)基本一致,仅有少量元数据和安装不一致。需要 Google API 密钥和网络访问,但不执行无关或隐蔽操作。
评估建议
该技能如所宣称:通过 Google Veo API 生成视频。安装或运行前,请注意:
- 必须在环境变量中提供有效的 `GEMINI_API_KEY`(Google API 密钥),注册元数据未列出此要求。
- 安装 Python 依赖 `google-genai`,确保有 `uv` 运行器。
- 脚本将发送您的提示和图像到 Google 服务器;避免使用敏感内容。
- 作者和主页未知;若需更高保证,请审查 `google-genai` 库和脚本。
- 安全顾虑大可在隔离环境运行。...详细分析 ▾
ℹ 用途与能力
脚本和 SKILL.md 实现了通过 Google Veo (google-genai 客户端) 生成视频,与技能名称和描述相符。小缺点:注册元数据未列出必需的环境变量,但 SKILL.md 和脚本都期望 `GEMINI_API_KEY`。脚本在注释中声明了对 `google-genai` 的依赖,但注册/安装元数据未列出或安装该依赖。
ℹ 指令范围
运行时指令范围窄:通过 'uv run' 运行提供的脚本,提供提示、可选输入图像和输出文件名。SKILL.md 建议将 `GEMINI_API_KEY` 存储在环境变量或 `~/.clawdbot/clawdbot.json` 中(脚本本身使用环境变量),这是一个小不一致但非恶意。脚本仅读取用户指定的输入图像文件并写入输出 MP4;它发送数据到 Google 的 Veo 服务(如预期)。
ℹ 安装机制
未提供安装规范(仅指令和脚本),降低了安装风险但也在注册级别留下了未声明的依赖。脚本注释指示对 `google-genai` 的依赖,但没有自动安装步骤或安装该包的指导,仅要求 `uv` 二进制。 这是一个操作缺口,而不是明显的安全问题。
ℹ 凭证需求
实践中仅需一个 `GEMINI_API_KEY`(Google API 密钥),与调用 Veo 相称。然而,注册摘要未列出此环境变量,但 SKILL.md 需要它,造成了用户应注意的不一致。SKILL.md 建议将密钥放在 `~/.clawdbot/clawdbot.json` 中是一种便利建议;脚本本身读取环境变量,而不是该文件。
✓ 持久化与权限
该技能不请求持久存在(always:false),不修改其他技能或全局代理设置,也不安装后台服务。仅将生成的视频文件写入用户指定的路径。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.3.02026/1/15
元数据简化:移除嵌套标签,扁平化结构
● 可疑
安装命令 点击复制
官方npx clawhub@latest install veo
镜像加速npx clawhub@latest install veo --registry https://cn.clawhub-mirror.com
技能文档
使用 Google Veo API 生成视频片段。
生成视频
uv run {baseDir}/scripts/generate_video.py --prompt "您的视频描述" --filename "output.mp4"
--duration/-d: 视频时长(秒,默认:8,最大值根据模型而定)--aspect-ratio/-a: 屏幕比例(16:9, 9:16, 1:1)--model: Veo 模型(如 veo-2.0-generate-001, veo-3.0-generate-001, veo-3.1-generate-preview 等)
- 环境变量
GEMINI_API_KEY(推荐) - 或在
~/.clawdbot/clawdbot.json中设置skills."veo".env.GEMINI_API_KEY
注意
- Veo 3.1 支持更高质量和更长时长
- 输出为 MP4 格式
- 使用
--model veo-3.1-generate-preview获取最佳效果 - Veo 3.0-fast-generate-001 快速但质量较低
- 脚本打印
MEDIA:行以便 Clawdbot 在支持的聊天提供商上自动附加。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制