by 安全扫描
OpenClaw
安全
high confidence该技能的代码和指令与其声明的用途(生成AI角色艺术)相符,仅需通过CLI标志传递一个API令牌;bundle中没有任何内容显得过度或故意欺骗性。
评估建议
该技能似乎能实现其所述功能:运行一个本地Node脚本,将您的提示词发送到外部图像API并返回图像URL。安装前:(1) 验证您信任远程服务(api.talesofai.com / neta.art)且代码中的端点与官方提供商匹配;(2) 避免在命令行上传递高度敏感的令牌(它们可能出现在shell历史记录或进程列表中)—— 优先使用环境变量、提示符或短期令牌;(3) 如有疑虑,请自行检查捆绑的dndcharactergenerator.js(已包含)或在沙盒环境中运行它;(4) 如需更强保证,请联系技能作者或使用仅限于图像生成范围的令牌。...详细分析 ▾
ℹ 用途与能力
该技能通过调用外部图像API(api.talesofai.com / "Neta")生成图像。为此目的需要进行网络调用和API令牌。文档/域名中存在轻微不一致(SKILL.md和README引用neta.art/open,而代码调用api.talesofai.com并使用'x-platform'头值'nieta-app/web')—— 可能是表面命名不匹配,但在使用令牌前值得验证预期的服务端点。
✓ 指令范围
SKILL.md将运行时指令限制为运行包含的node脚本和通过--token传递Neta API令牌。它不指示代理读取无关文件、环境变量或系统配置。
ℹ 安装机制
没有安装规范(仅指令),但该包确实包含一个将在本地执行的JavaScript运行时文件。技能本身不执行外部下载或存档提取;代码向图像API发出出站HTTPS调用。
ℹ 凭证需求
唯一需要的密钥是通过--token CLI标志传递的图像API令牌(未声明为环境变量)。这与技能的目的相称,但在命令行上传递令牌可能会通过shell历史记录或进程列表暴露给其他用户 —— 考虑更安全的令牌传递机制。
✓ 持久化与权限
该技能不请求持久系统权限,不设置always:true,也不修改其他技能的配置。默认允许自主调用(平台正常),但鉴于该技能占用空间有限,不会增加担忧。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/1
dnd-character-generator 初始版本发布。从文本描述生成电影级D&D和桌游RPG角色肖像。支持自定义图像尺寸和带参考图像的风格继承。需要免费的Neta API令牌进行图像生成。包含快速设置和使用说明,便于集成。
● 无害
安装命令 点击复制
官方npx clawhub@latest install dnd-character-generator
镜像加速npx clawhub@latest install dnd-character-generator --registry https://cn.clawhub-mirror.com
技能文档
Generate cinematic D&D character portraits and tabletop RPG hero art from a text description. Ideal for Dungeons & Dragons players, dungeon masters, TTRPG campaigns, and virtual tabletop tokens — create wizards, warriors, paladins, rogues, and any fantasy character class in stunning detail.
Token
Requires a Neta API token (free trial at --token flag.
node