Qwen Comic Gen — 基于 Gemini 3 Pro 的图像生成与编辑
v1.0.0Qwen Comic Gen 是一个基于 Gemini 3 Pro Image API 的图像生成和编辑技能。它支持文本到图像和图像到图像的工作流,提供 1K、2K 和 4K 分辨率选择。该技能通过命令行参数或环境变量处理 API 密钥,智能生成文件名,输出图像到当前工作目录,并提供常见故障的错误处理。同时,包含工作流提示、提示建议和分辨率映射。然而,请注意安全评估中提到的潜在风险和建议。
0· 451·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能声称为 Gemini(Nano Banana Pro)提供图像生成帮助,但其包中包含许多无关文件(包括明文 API 密钥/配置)、命名/路径不匹配以及不明确的运行时行为,这些不匹配之处令人怀疑,应在使用前解决。
评估建议
["不要直接运行。包中包含大量无关工作空间和明文凭据(API 密钥、应用秘密、令牌),这些对于图像生成工具来说是不必要的。","验证要执行的实际脚本。打开将要运行的 `generate_image.py` 文件(以及它导入的任何帮助脚本),搜索网络调用(请求/HTTP 客户端)、超出图像读/写的文件 I/O 以及读取其他配置文件或主目录路径的代码。确认端点并确保没有意外的远程端点被联系。","确认脚本路径和来源。 `SKILL.md` 参考 `~/.codex/skills/nano-banana-pro/scripts/generate_image.py`,但仓库路径不同(`scripts/generate_image.py`、`clawhub skills/...`)。请作者说明哪个文件是权威的,并解释为什么包中包含无关工作空间文件。","移除或保护嵌入的秘密。包中包括明文秘密(例如 `2026-3-10afu的js备份.txt` 和各种配置文件)。在安装前应移除这些,或者重新发布包时应不包含任何秘密/配置转储。","在隔离沙盒中运行。如果需要测试,请在一个可抛弃的 VM/容器中运...详细分析 ▾
⚠ 用途与能力
该技能被命名/营销为 'Qwen Comic Gen' / Nano Banana Pro(Gemini 3 Pro Image),但 `SKILL.md` 使用不同的内部名称(nano-banana-pro)并期望在 `~/.codex/skills/nano-banana-pro/scripts/generate_image.py` 找到一个脚本。仓库中包含许多无关项目/文件(615 个文件)和许多位于不同路径下的脚本(例如,`scripts/generate_image.py`、`clawhub skills/scripts/generate_image.py`)。一个简单的图像生成助手不应包含大量无关的工作空间文件、代理配置或此处找到的明文秘密。名称不匹配(Qwen vs Nano Banana Pro/Gemini)也是不一致的。
⚠ 指令范围
运行时指令告诉代理/用户通过 'uv run' 执行一个本地 Python 脚本,位于一个硬编码的绝对路径。这样会从磁盘执行任意代码;由于包中包含许多脚本,因此在给定的安装中不清楚将运行哪个文件。 `SKILL.md` 要求从 `--api-key` 或 `GEMINI_API_KEY` 读取 API 密钥——对于生成器来说这是合理的——但包中也包含许多其他与图像生成无关的配置文件和凭据。 `SKILL.md` 没有明确指示读取其他工作空间文件,但许多脚本的存在和绝对路径指令增加了脚本访问其他本地文件的风险(包括现有的明文秘密)。
⚠ 安装机制
没有正式的安装规范(仅指令),这通常会降低风险;然而,发布的包中包含 93 个代码文件和来自整个工作空间的 615 个总文件。没有明确的安装步骤或可信的发布源就打包整个工作空间,这与声称的目的不成比例。它增加了机会主义文件或无关文件(或意外的秘密转储)存在并将被运行时脚本使用的可能性。
⚠ 凭证需求
`SKILL.md` 声明仅 `GEMINI_API_KEY`(通过环境变量或 CLI),这是合适的。但包中包含多个配置文件(例如,`2026-3-10afu的js备份.txt`、OpenClaw 配置),其中包含许多与 Gemini 图像生成无关的明文 API 密钥、应用秘密、令牌和其他凭据。这些嵌入的凭据不被技能描述所证明,如果技能或其脚本读取或传输工作空间文件,则存在敏感数据暴露风险。
ℹ 持久化与权限
始终为 `false`,没有声明持久性。该技能指示从 `~/.codex` 下的绝对路径运行脚本,这意味着用户主目录中预期有一个技能安装的位置。这种模式本身并非特权,但由于包中包含大量工作空间文件和秘密,授予技能运行时执行权限会增加潜在影响范围。默认启用自主调用(正常),但结合其他红旗,自主运行本地脚本的能力是值得注意的。
⚠ hooks/gateway-restart-protection/handler.js:57
检测到 Shell 命令执行(child_process)
⚠ scripts/autonomous-thinking.js:193
检测到 Shell 命令执行(child_process)
⚠ scripts/triple-line-sync.js:49
检测到 Shell 命令执行(child_process)
⚠ skills/send-html-to-feishu/scripts/run.js:41
检测到 Shell 命令执行(child_process)
⚠ skills/skill-vetting/scripts/scan.py:22
检测到动态代码执行
⚠ skills/send-html-to-feishu/scripts/send-to-feishu.js:11
环境变量访问与网络发送结合
⚠ skills/send-html-to-feishu/scripts/send-to-feishu.js:31
文件读取与网络发送结合(可能的数据外泄)
⚠ skills/skill-vetting/references/patterns.md:108
检测到提示注入式指令模式
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/17
Nano Banana Pro 图像生成和编辑初始发布:- 使用 Gemini 3 Pro Image API 生成新图像或编辑现有图像。- 支持文本到图像和图像到图像工作流;选择 1K、2K 或 4K 分辨率。- 通过命令行参数或环境变量处理 API 密钥。- 使用时间戳和提示关键字智能生成文件名。- 输出图像保存到当前工作目录;为常见故障提供清晰的错误处理。- 包括工作流提示、提示建议和分辨率映射。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install qwen-comic-gen
镜像加速npx clawhub@latest install qwen-comic-gen --registry https://cn.clawhub-mirror.com
技能文档
基于 Gemini 3 Pro Image API 的图像生成和编辑技能。
功能
- 支持文本到图像和图像到图像工作流
- 选择 1K、2K 或 4K 分辨率
- 通过命令行参数或环境变量处理 API 密钥
- 智能文件名生成
- 输出图像保存到当前工作目录
- 常见故障清晰错误处理
使用指南
- 安装技能
- 运行
uv run以执行脚本 - 通过
--api-key或环境变量GEMINI_API_KEY提供 API 密钥
注意
- 请参考安全评估和建议,确保安全使用
- 联系作者获取最新、安全的版本
# 原始 YAML 前置不翻译 ...(保持原有不翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制