by 安全扫描
OpenClaw
安全
medium confidence此纯指令型 skill 看似如其所述(通过第三方云 API 上传并编辑视频),仅索取一个 service token,但存在几处微小的元数据不一致,且将用户文件上传至外部服务会带来明显隐私风险,安装前请仔细评估。
评估建议
该技能对云端视频编辑器而言看似合理,但安装前请注意:
- 使用时会将视频文件(最大 500MB)上传至 https://mega-api-prod.nemovideo.ai;除非信任该服务,勿用于敏感或私密素材。
- 若未提供 NEMO_TOKEN,技能可自动生成匿名令牌;已有账户且希望控制额度与留存时,建议自行设置令牌。
- 请向发布者确认配置路径行为:SKILL.md 的 frontmatter 提到 ~/.config/nemovideo/(可能本地持久化),而 registry 元数据未提及;需了解会话令牌或 ID 的存储位置与时长。
- 因源码/主页未知,发送内容前请先核实服务提供商 nemovideo.ai 的声誉与隐私政策。
- 若需更强保障,可拒绝安装或仅使用非敏感测试片段。...详细分析 ▾
ℹ 用途与能力
名称/描述与运行时指令一致:该技能将用户上传和编辑意图路由至云端渲染 API(mega-api-prod.nemovideo.ai)。唯一必需的凭证(NEMO_TOKEN)适用于云服务。轻微不一致:registry 元数据显示无配置路径,但 SKILL.md 的 frontmatter 列出了配置路径(~/.config/nemovideo/),这出乎意料,应予以澄清。
ℹ 指令范围
SKILL.md 指示智能体上传用户视频文件(multipart form 或 URL)、创建会话、使用 SSE、轮询渲染状态——全部在编辑服务范围内完成。它还指示在缺失 NEMO_TOKEN 时自动创建匿名令牌。这些操作对云编辑器属预期行为,但赋予该技能将本地文件和会话令牌传输至外部 API 的能力(涉及隐私/PII 问题)。
✓ 安装机制
没有安装规范,也没有代码文件——该技能仅通过指令运行。这是最低安装风险(安装步骤不会下载或写入任何内容)。
ℹ 凭证需求
仅声明了一个必需的环境变量(NEMO_TOKEN),这对云 API 而言是合理的。SKILL.md 确实展示了在缺少 NEMO_TOKEN 时,通过服务的 /api/auth/anonymous-token 端点生成匿名令牌的行为。frontmatter 中的 configPaths 条目表明该 skill 可能读写 ~/.config/nemovideo/,这一点未在注册元数据中列出,应予澄清。
ℹ 持久化与权限
always:false 且无安装脚本,降低了持久化权限。该技能确实指示保留 session_id 以供后续操作,且 frontmatter 暗示了一个配置路径,可能用于存储令牌/状态——这一点在注册元数据中未明确说明,可能导致会话令牌被持久化到磁盘。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
AI Video Editor Eddie 1.0.0 — 初始版本 - 一键将原始素材(MP4、MOV、AVI、WebM,最大500MB)云端GPU秒剪成1080p MP4成片。 - 自动用NEMO_TOKEN完成云端会话,注册即送100积分,7日有效。 - 工作流全自动化:去停顿、加BGM、导出、批量处理一气呵成。 - 聊天式界面,内容创作者零剪辑经验也能上手。 - 上传、积分、状态、导出均有清晰反馈与健壮错误提示。 - 支持快剪、反复微调,兼容常见视频/音频/图片格式。
● 无害
安装命令
点击复制官方npx clawhub@latest install ai-video-editor-eddie
镜像加速npx clawhub@latest install ai-video-editor-eddie --registry https://cn.longxiaskill.com