by 安全扫描
OpenClaw
可疑
high confidence该技能的声明用途(image matting)看似合理,但运行时指令要求代理在聊天中索取并存储用户 API 密钥,且 SKILL.md 中的安装说明与注册表元数据不符——这些不一致及密钥处理指引存在风险。
评估建议
该技能似乎是对 dlazy 图像分割服务的 CLI 封装,但安装前请注意以下风险:
1. 切勿在聊天中粘贴 API 密钥或其他机密——应使用安全机制(在环境变量中设置或直接在本地终端传给 CLI)。
2. 技能的 SKILL.md 推荐安装 npm 包(@dlazy/cli),但注册元数据未声明——请核实包名,在 npm/GitHub 检查其仓库与维护者信息,并审阅源码后再全局安装。
3. 如必须使用,请在沙箱或容器内运行 CLI,并确认其凭据存储路径(文件系统位置)及访问权限。
4. 向发布者索要官方主页/仓库,以及所需环境变量和安装步骤的明确说明;若包仓库、维护者和凭据处理均获验证,评估结果可改为无害。...详细分析 ▾
ℹ 用途与能力
该技能声称执行图像抠图,其基于 CLI 的工作流(dlazy imageseg)与此目的相符。然而,registry 元数据未列出任何安装或二进制依赖,而 SKILL.md 元数据却明确要求 npm/npx 并指示安装 @dlazy/cli@1.0.5——声明需求与技能说明明显冲突。
⚠ 指令范围
SKILL.md 明确要求 agent 提示用户“发送” API key,然后运行 `dlazy auth set <key>` 保存。让用户把凭据粘贴到对话并让 agent 存储,对大多数安全集成毫无必要,且极易造成密钥泄露。指令还提到本地文件输入及任意 JSON @file 载荷(CLI 常见),与索要凭据结合后风险进一步升高。
ℹ 安装机制
该技能建议全局安装 npm 包(@dlazy/cli@1.0.5),其来源为中等风险的公共 npm。注册表层面未提供安装说明,而 SKILL.md 中却包含安装命令,这一不一致需解决。在全局安装未知 npm 包前,应审查其源码、维护者及发布产物。
⚠ 凭证需求
注册表元数据未声明任何必需的凭据或环境变量,但运行时指令明确要求 API key(并指示智能体向用户索取并保存)。该技能未提前声明此凭据需求。单一服务 API key 的要求对此功能而言合理,但指示智能体通过聊天索取则过度且不安全。
ℹ 持久化与权限
该 skill 未设置 always:true,也不要求系统级权限。它会指示 agent 运行 `dlazy auth set <key>` 以在本地持久化 API key,这对 CLI 属正常行为,但仍需安全保管密钥。该 skill 不会修改其他 skill 或全局 agent 设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
dlazy-imageseg 首次发布 - 前景背景分离的图像抠图工具,输出透明背景 - 支持商品图处理、人物抠像、图像合成 - 提供命令行选项:输入图片、JSON 载荷、异步任务、错误处理 - 授权与额度错误的清晰指引 - 输出透明背景处理图的 URL
● 可疑
安装命令
点击复制官方npx clawhub@latest install dlazy-imageseg
镜像加速npx clawhub@latest install dlazy-imageseg --registry https://cn.longxiaskill.com