首页龙虾技能列表 › Video Producer — 短视频一键生成技能

Video Producer — 短视频一键生成技能

v2.2.1

短视频一键生成技能 v2.2,调用video-director进行画面规划,生成AI素材、TTS配音、视频渲染,输出完整MP4。

1· 384·0 当前·0 累计
by @a1024708231·MIT-0
下载技能包
License
MIT-0
最后更新
2026/3/25
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能基本如声称(生成图像、TTS、渲染视频),但包含多个不一致和风险模式(硬编码API密钥、未声明的凭据、子进程调用、跨技能依赖、自修改助手),在使用前需要审查。
评估建议
不要在敏感系统上直接运行该技能。具体关注点:(1)硬编码API密钥被视为泄露的秘密;(2)元数据未声明实际使用的API密钥和助手脚本;(3)脚本使用execSync调用外部node/python助手,可能允许shell注入;(4)执行兄弟脚本,需验证源;(5)produce_fix.js可以重写produce.js,自修改行为需谨慎。建议在安装前:在隔离沙盒中运行、审计和删除硬编码密钥、在元数据中要求显式环境变量、审查所有外部端点、使用非敏感样本数据测试。如果无法验证外部助手脚本和密钥,标记技能为不可信任。...
详细分析 ▾
用途与能力
名称/描述(使用video-director助手的视频生成、AI图像、TTS、Remotion渲染)与包含的脚本(produce.js、image_gen.js和测试输出)匹配。然而,实现需要外部助手脚本(../../video-director/scripts/plan.js和../../minimax-tts-cn/scripts/tts.py)并使用外部图像/TTS API — 这些依赖项未在注册元数据或SKILL.md元数据中声明(无所需的环境变量或配置路径列出)。这种不匹配(未声明但需要的助手/密钥)是意外的。
指令范围
SKILL.md 描述调用video-director并生成资产,这是一致的,但运行时脚本做得更多:它们通过execSync调用外部进程(node和python),在多个位置外写文件技能文件夹,并可能需要兄弟技能代码的存在。指令不记录硬编码API密钥、预期的外部脚本位置,也不记录代理将执行其他脚本的事实。generateTTS命令构造使用仅双引号转义的shell调用,暴露了如果输入不严格清理,则存在潜在的shell注入风险。
安装机制
没有安装规格(仅指令),因此没有内容会被自动下载。然而,有些已打包的JS脚本将被执行。这降低了安装风险,但运行这些脚本仍会执行网络请求和子进程。未在提供的文件中观察到任何外部存档下载。
凭证需求
技能元数据声明没有所需的环境变量或主要凭据,但代码读取并回退到API密钥(process.env.MINIMAX_API_KEY,process.env.MINIMAX_IMAGE_API_KEY)并包含默认硬编码API密钥字符串嵌入在源代码中。代码中的硬编码密钥与声明的“无”凭据字段存在敏感不匹配。脚本还预期本地兄弟项目(video-director,minimax-tts),这增加了攻击面和运行时所需的权限。
持久化与权限
技能不总是启用(always:false),因此不会被强制包含。然而,它执行子进程(execSync),通过路径require/require()其他脚本,并包括一个助手(produce_fix.js)修改磁盘上的produce.js(自修改代码)。这些行为不一定是恶意的,但增加了风险,并意味着技能在运行时将执行文件写入和任意代码执行。
安装前注意事项
  1. 代码包含硬编码API密钥 — 将其视为泄露的秘密;如果您或他人使用了这些密钥,请立即旋转它们。
  2. 技能的元数据未声明实际使用的API密钥和助手脚本(MINIMAX_API_KEY、MINIMAX_IMAGE_API_KEY和外部video-director/minimax-tts脚本)。请作者删除硬编码的凭据并声明所需的环境变量和依赖项。
  3. 脚本使用execSync调用外部node/python助手,并从用户文本构建shell命令 — 如果输入不清理,则可能允许shell注入。避免传递不受信任的文本;更喜欢使用child_process.spawn和显式参数或清理接口。
  4. 技能要求或执行兄弟脚本(../../video-director、../../minimax-tts-cn) — 在允许执行之前,请验证这些脚本的源,因为它们使用相同的代理权限运行。
  5. produce_fix.js可以重写produce.js — 谨慎对待自修改行为,并审查其用例。安装前建议:在隔离沙盒中运行、审计和删除硬编码密钥、在元数据中要求显式环境变量、审查所有外部端点(api.minimaxi.com和任何video-director/TTS代码)、使用非敏感样本数据测试。如果无法验证外部助手脚本和密钥,请标记技能为不可信任。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv2.2.12026/3/25
● 可疑

安装命令 点击复制

官方npx clawhub@latest install video-producer
镜像加速npx clawhub@latest install video-producer --registry https://cn.clawhub-mirror.com

技能文档

核心能力

  • 画面规划 - 调用video-director生成分镜表(含素材路径)
  • AI素材生成 - 根据文案关键词智能匹配素材
  • TTS配音 - 每场景独立配音
  • 视频渲染 - Remotion + AI素材动画
  • 音视频合成 - 最终MP4输出
... (中间内容保持原样,仅示例首尾)

使用方式

node produce.js "视频主题" '[{"text":"口播","emoji":"💡","title":"标题"}]'
... (保持原文的Markdown格式和代码块不变)

数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务