安全扫描
OpenClaw
安全
high confidence该技能的代码和指令与其声明的目的(通过 Neta/TalesOfAI API 生成 OG 图像)一致,仅请求单一 API 令牌,没有执行无关动作,但存在小的文档/集成不一致,需注意。
评估建议
该技能如声称般调用 Neta/TalesOfAI 图像 API 并返回图像 URL。安装前,请验证来源(README 中的 GitHub 拥有者与注册拥有者 ID 不同),并决定如何提供 API 令牌(脚本期待命令行中的 --token,避免在共享 shell 或日志中暴露秘密)。注意,package.json 为安装者宣传了 NETA_TOKEN 环境变量(用于 clawhub),但脚本不读取它——一些安装工具可能会提示设置该环境变量。如果您有敏感数据或严格的网络策略,请确认可以接受向 api.talesofai.com 和 cdn.talesofai.cn 的出站访问。否则,该技能在内部一致,适合其目的。...详细分析 ▾
ℹ 用途与能力
技能的名称、README、SKILL.md 和代码都描述了通过 Neta/TalesOfAI API 生成图像(api.talesofai.com),代码也确实如此执行。小的不一致:注册元数据显示没有必需的环境变量,而 package.json 声明了一个 NETA_TOKEN 环境变量;运行时脚本期待 --token 标志,而不是读取环境变量。这些是文档/包装不匹配,不是功能红旗。
ℹ 指令范围
SKILL.md 指导用户使用 --token 标志运行 Node 脚本,并提供了合理的 CLI 选项。SKILL.md 文件头列出了 'tools: Bash',但提供的脚本是一个 Node 程序 —— 另一个小的文档不匹配。指令和脚本仅发送提示和可选 ref UUID 到外部图像 API,并打印返回的图像 URL;它们不读取无关文件或尝试泄露其他数据。
✓ 安装机制
没有安装规范在运行时下载任意代码;包作为源文件分发(ogimage.js、package.json、README)。README 建议使用 npx/clawhub 安装,这是典型的。没有远程任意存档下载或可疑的安装 URL。
ℹ 凭证需求
脚本要求单一 API 令牌调用图像服务(通过 --token 传递)。这是合理的。唯一的不匹配是 package.json 为安装者宣传了 NETA_TOKEN 环境变量(clawhub.env)作为 '必需',但运行时脚本不读取该环境变量 —— 它使用 CLI 标志。没有请求无关凭证。
✓ 持久化与权限
该技能不请求持久/始终启用的权限,不修改其他技能或系统设置,也不尝试存储令牌或修改代理配置。允许自主调用(平台默认),但没有请求额外的高级权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/27
● Pending
安装命令 点击复制
官方npx clawhub@latest install og-image-skill
镜像加速npx clawhub@latest install og-image-skill --registry https://cn.clawhub-mirror.com
技能文档
OG 图像生成器
从文本描述生成惊人的 OG 图像生成器 AI 图像。立即获取直接图像 URL。
令牌
需要 Neta API 令牌。免费试用可在
export NETA_TOKEN=your_token_here
node <脚本> "你的提示" --token "$NETA_TOKEN"
使用场景
当有人请求生成或创建 OG 图像生成器图像时使用。
快速开始
node ogimage.js "你的描述" --token YOUR_TOKEN
选项
--size—portrait,landscape,square,tall(默认:landscape)--style—anime,cinematic,realistic(默认:cinematic)
安装
npx skills add SherriHidalgolt/og-image-skill