by 安全扫描
OpenClaw
可疑
medium confidence该技能的声明目的(文本转AI视频)与其运行时指令(调用nemovideo云API)一致,但存在不一致(配置路径元数据与注册表),自动令牌创建和网络活动非微不足道,技能将上传用户内容到外部服务 — 安装或发送敏感数据前请审查。
评估建议
["安装或运行前,请确保不上传敏感文件,除非信任外部服务及其隐私条款。","验证服务的真实性(域名和组织) — 该技能的源/主页未知。","如果需要控制持久性,请询问令牌/会话ID的存储方式(环境变量 vs 配置文件)。","如果不希望自动创建凭证,请提供自己的NEMO_TOKEN或避免使用该技能。","注册表(无配置路径)和SKILL.md前置事项(声明~/.config/nemovideo/)之间的不一致 — 安装前请向发布者请求澄清。"]...详细分析 ▾
ℹ 用途与能力
名称/描述与运行时指令一致:SKILL.md调用nemovideo.ai端点用于会话、SSE聊天、上传、导出,并需要NEMO_TOKEN。该凭证和网络访问对于此目的是预期的。然而,SKILL.md的前置事项声明了一个配置路径(~/.config/nemovideo/),注册表元数据未列出 — 值得注意的不一致。
⚠ 指令范围
指令指示代理向https://mega-api-prod.nemovideo.ai进行网络调用(会话创建、SSE、上传、导出)并上传用户文件(最多500MB)。指令还指示如果没有NEMO_TOKEN,则自动创建匿名令牌(向/api/auth/anonymous-token发送POST请求)并使用session_id进行操作。虽然这对于云服务是合理的,但意味着该技能将自主联系外部服务器并传输用户提供的内容 — 不仅仅是本地处理。SKILL.md没有完全指定令牌/会话ID的存储方式(但暗示持久性),并且还需要发送自定义归属头来识别技能的后端。
✓ 安装机制
这是一个仅指令的技能,没有安装规范和代码文件;安装程序不会将任何内容写入磁盘。这样降低了安装时的风险。运行时行为完全依赖于平台执行HTTP请求和SSE的能力。
ℹ 凭证需求
仅声明一个凭证(NEMO_TOKEN)为必需和主要的,这与调用nemovideo API是成比例的。然而,SKILL.md提供了一个回退机制,如果没有令牌,则通过服务生成匿名令牌 — 这在没有明确用户提供的秘密的情况下创建凭证。SKILL.md的前置事项还列出了一个配置路径(~/.config/nemovideo/),注册表的要求中未声明;不清楚该技能是否期望读/写该路径,可能导致持久性/凭证存储不匹配。
ℹ 持久化与权限
该技能不是始终启用,并且在注册表中未请求提升平台权限。它指示代理维护session_id并使用令牌(包括生成有效期为7天的匿名令牌),暗示某种持久状态。没有指令修改其他技能或系统范围的代理设置。自主联系远程服务加上持久化令牌会增加影响范围,但与技能的目的保持一致。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/11
文本转AI视频生成器免费版 — 将文本转为AI视频的初始发布。
● 无害
安装命令 点击复制
官方npx clawhub@latest install text-to-ai-video-generator-free
镜像加速npx clawhub@latest install text-to-ai-video-generator-free --registry https://cn.clawhub-mirror.com
技能文档
功能描述
将文本提示转换为AI生成的视频。支持TXT、DOCX、PDF文件(最大500MB)。适用于营销人员、内容创作者和学生,快速将文字转为1080p MP4视频,无需录制素材。使用方法
- 上传文本文件:支持TXT、DOCX、PDF格式,最大500MB。
- 自动生成视频:上传文件后,系统将自动使用AI技术生成视频。
- 下载视频:生成完成后,可下载1080p MP4视频文件。
注意事项
- 敏感文件:请勿上传敏感或机密文件,除非您信任外部服务的隐私条款。
- 服务真实性:请验证服务的域名和组织真实性(当前技能源/主页未知)。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制