📦 Dreamface
v1.0.0AiSkip 跳过专业剪辑软件的学习曲线。只需描述你的需求——让我的照片跟着这段音频对口型——即可获得动态人脸……
0· 17·0 当前·0 累计
by 下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
可疑
medium confidence该技能的运行时指令与某云端人脸动画服务大体一致,但缺少来源信息、前置元数据/注册表不匹配(configPaths)、令牌存储不透明且自动铸造,以及将个人媒体上传至未经验证的第三方端点,因此在缺乏更多信息的情况下存在风险。
评估建议
该 skill 看似实现了云端人脸动画流程,但会将用户照片/音频上传至 https://mega-api-prod.nemovideo.ai(未知厂商),并会铸造/存储匿名 token。安装或使用前,请确认服务方、隐私政策与数据保留规则;询问 token 与 session_id 的存储位置(内存还是写入 ~/.config/nemovideo/);避免上传敏感或私密图片;测试时建议用一次性账户/token;验证域名与服务合法性(主页、公司信息或开源仓库)。frontmatter 与 configPaths 不一致、缺少主页是主要警示。如需,我可代拟向作者提问的问题,或推荐更安全的替代方案。...详细分析 ▾
ℹ 用途与能力
名称/描述(将照片动画化为说话视频)与 SKILL.md 中的端点和流程一致。要求提供 NEMO_TOKEN 对于基于 API 的渲染服务是合理的。然而,技能前置信息引用了配置路径(~/.config/nemovideo/),而该路径并未在注册元数据中声明——这种不一致可能表明技能预期会读取/写入本地配置目录(用于缓存令牌/会话),尽管注册信息显示无需配置路径。
⚠ 指令范围
指令要求 agent 获取匿名 token、创建并持久化 session_id,将用户提供的图像/音频上传至远程 API,并在“保留 token”的同时禁止向用户展示原始 token。token 与 session_id 的存储位置/方式未指定(可存于内存、环境变量或写入 ~/.config 路径)。该 skill 还需添加 attribution 头并自动检测安装路径,意味着需读取 agent/install 元数据。上传可能包含敏感个人媒体至外部域是该功能所必需,但须向用户明确说明。
✓ 安装机制
仅含指令的技能,无安装规范或代码文件——安装风险最低。未描述任何下载、二进制或软件包安装步骤。
ℹ 凭证需求
仅一个凭证(NEMO_TOKEN)被声明为主凭证,比例适当。然而,该 skill 可代用户铸造匿名令牌,且存储语义不明(frontmatter 与 configPath 不匹配),增加了在主机或 agent 状态内写入/认证的风险。未请求其他无关密钥。
✓ 持久化与权限
always:false(常规)。技能可自主调用(平台默认),仅在权限宽泛时才会扩大影响范围——此处技能权限受限,但自主调用结合网络访问与令牌使用仍需谨慎。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
DreamFace AI 1.0.0 — 首次发布 - 一键将肖像照片生成对口型说话视频 - 云端秒级处理:上传照片+音频,30-60 秒输出 1080p MP4 - 支持多格式,最大 200MB:JPG、PNG、WEBP、MP4 等 - 无需安装软件,全程 GPU 云端完成 - 自动身份验证与会话管理,体验流畅 - 通过聊天指令即可导出、查看积分、项目状态
● 无害
安装命令
点击复制官方npx clawhub@latest install dreamface-ai
镜像加速npx clawhub@latest install dreamface-ai --registry https://cn.longxiaskill.com