by 安全扫描
OpenClaw
可疑
medium confidence该技能声明的功能(通过dlazy CLI进行语音克隆)是合理的,但运行时指令要求代理人索取和保存用户的API key,而技能元数据中并没有声明该凭证——这种不匹配以及对秘密的隐式请求令人担忧。
评估建议
此技能依赖外部 npm CLI(@dlazy/cli)及其 API 密钥,但该包/作者未知,技能元数据也未声明所需凭据。安装或使用前:1)在 npm 仓库验证 @dlazy/cli 包及其发布者,并检查源码;2)切勿在聊天中粘贴敏感 API 密钥,优先本地设置(如在受控环境运行 `dlazy auth set <key>`)或使用平台密钥管理器;3)若需测试,先在隔离环境(VM/容器)运行 npm install 和 CLI;4)向技能作者/发布者索要主页、源码仓库及凭据处理说明。以上步骤可降低意外泄露凭据或安装恶意 npm 包的风险。...详细分析 ▾
ℹ 用途与能力
名称/描述(Vidu audio clone)与基于 CLI 的实现一致;需要 npm/npx,并建议运行 npm install -g @dlazy/cli@1.0.5 是合理的。然而,该技能未声明任何必需凭证或 primaryEnv,尽管 CLI 明显需要 API key(已描述 401/unauthorized 处理)。
⚠ 指令范围
SKILL.md 明确指示 agent 要求用户从 dlazy.com 获取 API key 并“发给你”,随后运行 `dlazy auth set <key>` 保存。这引导 agent 通过聊天向用户索取并捕获密钥,再经 CLI 持久化,使其职责超出单纯执行命令。指令还强制要求提供面向用户的指引(链接)及针对错误码的特定行为,赋予 agent 收集凭据的规范性步骤。
ℹ 安装机制
通过 npm 全局安装(@dlazy/cli@1.0.5),如 SKILL.md 元数据所示。从公共 registry 的 npm 安装很常见,但存在中等风险,因为包在安装过程中可执行任意代码。registry 元数据中无安装说明,仅在 SKILL.md 中提供,这一不一致需留意。
⚠ 凭证需求
该技能未声明任何必需的环境变量或主要凭据,但运行时指令却假定并指导代理获取并存储 dlazy API key。这种不一致意味着需要处理机密,却未声明。要求用户将 API key 粘贴到聊天中并指示代理保存,会增加意外泄露的风险。
✓ 持久化与权限
该技能未设置 always:true,也未声明系统配置路径访问。运行 `dlazy auth set` 会通过 CLI 持久化凭据,这是 CLI 集成的正常行为,表面看并不过分。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
dlazy-vidu-audio-clone 的初始版本发布。 - 支持使用 Vidu Audio Clone 实现一键语音克隆和文本转语音音频生成。 - 提供命令行选项用于设置音频源、提示、输入 JSON 和异步任务处理。 - 包括针对常见问题(如缺少 API 密钥或余额不足)的错误代码和详细代理说明。 - 输出格式返回生成的音频结果的可下载 URL。 - 通过 npm 安装:npm install -g @dlazy/cli@1.0.5。
● 无害
安装命令
点击复制官方npx clawhub@latest install dlazy-vidu-audio-clone
镜像加速npx clawhub@latest install dlazy-vidu-audio-clone --registry https://cn.longxiaskill.com 镜像可用
技能文档
使用 Vidu Audio Clone 一键克隆语音并生成新文本朗读音频。
触发关键词
- vidu audio clone
- clone voice
- custom speech
使用方法
CRITICAL INSTRUCTION FOR AGENT:运行dlazy vidu-audio-clone 命令来获取结果。
dlazy vidu-audio-clone -h
选项:
--audio_url 音频 URL [音频:URL 或本地路径]
--prompt 提示
--input JSON有效载荷:内联字符串,@文件或 - (标准输入)
--dry-run 打印有效载荷 + 成本估算而不调用 API
--no-wait 立即为异步任务返回 generateId
--timeout 等待异步完成的最大秒数(默认: "1800")
-h, --help 显示命令的帮助
输出格式
{
"ok": true,
"kind": "urls",
"data": {
"urls": [
"https://oss.dlazy.com/result.mp4"
]
}
}
命令示例
# 基本调用:
dlazy vidu-audio-clone --prompt '提示文本'
# 复杂调用:
dlazy vidu-audio-clone --prompt '提示文本'
错误处理
| 代码 | 错误类型 | 示例消息 | | ---- | ---------------------------------- | ------------------------------------------------------------------------------------------------------------------------ | | 401 | 未授权(无 API 密钥) |ok: false, code: "unauthorized", message: "API 密钥缺失或无效" |
| 501 | 缺少必需参数 | error: 必需选项 '--prompt ' 未指定 |
| 502 | 本地文件读取错误 | Error: 图像文件/视频文件未找到:C:\path\to\your\file |
| 503 | API 请求失败(无余额) | ok: false, code: "insufficient_balance" |
| 503 | API 请求失败(服务器错误) | HTTP 状态代码错误(500 服务器崩溃) |
| 504 | 异步任务执行失败 | === 生成失败 === / {后端返回的具体错误原因,例如 "提示违反安全策略"} |
AGENT CRITICAL INSTRUCTION:
1. 如果执行结果返回code: "insufficient_balance",您必须明确告知用户其信用额度不足,并指导他们充值:https://dlazy.com/dashboard/organization/settings?tab=credits
2. 如果执行结果返回code: "unauthorized"或指示缺少 API 密钥,您必须告知用户从 https://dlazy.com/dashboard/organization/api-key 获取其 API 密钥并将其发送给您。一旦他们提供,您可以使用dlazy auth set保存它并继续任务。