安全扫描
OpenClaw
可疑
high confidence该技能基本如描述,但注册元数据未声明所需凭证和运行依赖项,脚本执行广泛本地操作(网络扫描、读取 OpenClaw 配置、文件 I/O),用户应在安装前明确同意和理解。
评估建议
安装前考虑事项:- 未声明的凭证:元数据未列出环境变量,但 SKILL.md 和脚本需要 GEMINI_API_KEY 和 nano-banana-pro 技能。- 网络操作:脚本扫描本地子网,POST 文件和命令到设备 IP。- 外部执行:精灵生成调用外部脚本,确保从可信源安装。- 文件写入:技能在主目录下写入生成的资产,可能清除/备份设备上的图像。- 实用建议:(1)请求发布者更新元数据;(2)自行检查脚本;(3)不要提供不可信的 API 密钥;(4)手动运行网络发现和上传步骤。...详细分析 ▾
⚠ 用途与能力
名称/描述与实现行为匹配:生成精灵并推送到 GeekMagic 霍洛立方。但元数据未列出所需环境变量或主要凭证,SKILL.md 和代码明确需要 GEMINI_API_KEY(和 nano-banana-pro 技能)用于精灵生成,并期望 'uv' 二进制和 Pillow。元数据中未声明这些必需部分是一致性问题。
ℹ 指令范围
运行指令和包含的脚本与声明目的一致:在本地子网发现设备,通过 Gemini 支持的技能生成图像,转换为 GIF/JPG,上传到设备,设置表情。脚本执行完整的 /24 子网扫描发现设备,在用户主目录下读写文件,读取 ~/.openclaw/openclaw.json 获取 API 密钥,并对本地设备端点执行 HTTP POST(例如 /doUpload、/set)。这些操作对于设置是预期的,但比简单的“表情设置器”更广泛(网络扫描、解析设备 HTML 以备份以及写入文件)。除了图像生成步骤(nano-banana-pro/Gemini)外,无指令发送数据到第三方端点,也未发现任何混淆或隐藏的远程端点。
✓ 安装机制
这是一个仅包含指令的技能,带有捆绑脚本(无安装规格)。未指定任意远程下载/安装步骤。脚本调用外部二进制(uv、Pillow)和单独安装的 nano-banana-pro 技能;这些对于图像生成是典型的,但应从可信源安装。
⚠ 凭证需求
元数据未声明所需环境变量,但代码和 SKILL.md 需要 GEMINI_API_KEY(并尝试从环境变量或 ~/.openclaw/openclaw.json 读取)。脚本也读取用户主目录下的 OpenClaw 配置文件以找到 nano-banana-pro API 密钥。读取该配置可能会暴露其他技能 API 条目(如果存在)。所需二进制(uv、Pillow)在 SKILL.md 中提及但未在元数据中强制执行。这种不匹配意味着技能将需要未在注册表条目中声明的敏感凭证 —— 这是一个比例和透明度问题。
✓ 持久化与权限
技能不请求 always: true 或尝试修改其他技能的配置。它将生成的资产写入用户的工作空间(~/.openclaw/workspace/assets/holocube-sprites)并上传/清除霍洛立方设备上的文件。这些是该功能的预期行为。注意:默认启用了智能助手自动调用,但未与元数据中的广泛未声明的凭证请求结合(凭证由代码要求但未声明),因此用户在自动运行方面应谨慎。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/8
● 无害
安装命令 点击复制
官方npx clawhub@latest install holocube-emotes
镜像加速npx clawhub@latest install holocube-emotes --registry https://cn.clawhub-mirror.com
技能文档
(由于原始内容较长且包含代码块,以下为简略翻译,保留关键信息)
name: holocube-emotes 描述:控制 GeekMagic 霍洛立方显示设备作为 AI 表情系统...
# 霍洛立方表情 将 GeekMagic 霍洛立方转为 AI 的面孔。生成全息角色精灵,上传到设备,基于智能助手状态实时切换表情...
首次设置
0. 发现设备
自动发现本地网络上的霍洛立方:python3 scripts/holocube.py --discover
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制