by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了一个 EasyImages 上传器,基本符合其描述,但在安装前需要注意一些不一致之处和轻微的数据泄露行为。
评估建议
该技能基本上如描述所述:一个将本地图片上传到 EasyImages 服务器的工具。在安装或使用之前,请考虑以下几点:
- 检查 config.json 并避免将真实令牌放入公开仓库。脚本会读取本地配置文件或环境变量获取上传令牌。
- 上传器打印的 JSON 包含端点、解析的配置文件路径以及原始服务器响应(包括服务器返回的任何 'del' 删除 URL)。SKILL.md 告知智能体不要向用户暴露删除 URL,除非用户要求,但脚本仍会在输出中返回该值。如果在意隐藏删除链接或本地路径,请修改脚本以省略或隐藏 config_path、raw response 和 delete_url,除非明确请求。
- 文档说明相对路径相对于技能根目录解析,但脚本将相对图片路径相对于当前工作目录解析。命令中建议使用绝对路径以避免意外。
- 确认你计划使用的环境变量名称;脚本接受额外的备用变量(EASYIMAGE_SERVER、EASYIMAGE_BASE_URL),这些未在 SKILL.md 中列出。
- 代码在内存中构建整个 multipart body;对大文件要谨慎。如果需要更高保障:在测试服务器上本...详细分析 ▾
✓ 用途与能力
名称、描述、README、references、SKILL.md 和捆绑的 Python 上传器是一致的:都实现了将本地图片上传到 EasyImages 2.0 服务器。请求的功能(通过 CLI/配置/环境变量获取令牌和服务器)对于所述目的是合理的。
ℹ 指令范围
SKILL.md 将操作限制为本地文件上传,并明确警告不要回显令牌和不要暴露删除 URL。捆绑的脚本遵循主要上传流程,不打印令牌。然而,SKILL.md 声称相对路径相对于技能根目录解析;脚本将相对图片路径相对于当前工作目录(Path.cwd())解析,因此路径解析行为与文档不同。此外,脚本在其 JSON 输出中包含服务器端点、配置文件路径和服务器响应(原始),这可能暴露本地路径和服务器提供的有效负载(包括上游 API 返回的删除 URL)。SKILL.md 指示智能体不要透露删除 URL,除非用户要求,但脚本在其打印的 JSON 输出中包含删除 URL,留给智能体来遵守 SKILL.md 的指导。
✓ 安装机制
仅提供指令的技能,带有一个小的捆绑脚本,没有安装规范。不需要外部下载或安装时代码执行。安装风险较低。
ℹ 凭证需求
根据注册表元数据,该技能不需要任何环境变量(配置是可选的)。脚本接受 EASYIMAGE_URL / EASYIMAGE_SERVER / EASYIMAGE_BASE_URL 和 EASYIMAGE_TOKEN 作为备用;SKILL.md 仅记录 EASYIMAGE_URL 和 EASYIMAGE_TOKEN(轻微不匹配)。要求单个服务令牌对于目的是相称的。请注意 config.json 包含令牌;该技能建议不要提交它并保持权限严格。
✓ 持久化与权限
该技能不请求 always:true,不安装系统级组件,也不修改其他技能。它在调用时运行本地脚本,具有正常的有限权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
easyimage-uploader 初始版本发布: - 将本地图片文件上传至 EasyImages 2.0 服务并返回托管的图片 URL。 - 支持通过 CLI 参数、技能本地 config.json 或环境变量进行配置。 - 包含失败处理,为常见错误和状态码提供清晰的用户友好解释。 - 提供安全说明、安全路径处理和 temp_dir 最佳实践的使用指南。 - 提供详细工作流,用于确认文件选择、解析结果和管理配置密钥。
● 无害
安装命令
点击复制官方npx clawhub@latest install easyimage-uploader-py
镜像加速npx clawhub@latest install easyimage-uploader-py --registry https://cn.longxiaskill.com镜像同步中
技能文档
将本地图片上传到 EasyImages 2.0 服务器,然后返回托管的图片 URL。
配置优先级
按以下顺序解析配置:
- CLI 参数:
--server和--token - 技能本地配置文件:
config.json - 环境变量备用:
EASYIMAGE_URL
- EASYIMAGE_TOKEN推荐设置:在技能根目录创建 config.json。示例:
{
"server": "https://img.example.com",
"token": "your-easyimage-token",
"allow_model_image_input": false,
"temp_dir": "./temp"
}
模板文件 included as config.example.json。
配置字段
server:EasyImages 服务基础 URLtoken:EasyImages 上传令牌allow_model_image_input:是否允许上传请求依赖模型端图片理解
false:仅优先使用直接文件路径上传,避免图片分析,避免视觉工具使用
- true:必要时允许模型端图片处理
temp_dir:此技能的临时工作目录
./temp
- 相对路径相对于此 SKILL.md / 技能根目录解析
- 使用默认值时,有效目录为 easyimage-uploader/temp/如果配置缺失,停止并询问用户缺失的值。
工作流
- 确认应上传哪个本地图片文件。
- 如需了解确切的上游 API 形状或状态含义,请阅读
references/api.md。 - 当行为重要时读取
config.json。 - 如果
allow_model_image_input为false,不要仅为了理解图片内容而使用图片分析或视觉工具。将图片视为文件,仅通过路径上传。 - 当需要下载、转换或中间存储时,使用
temp_dir存储临时文件。如果目录不存在,先创建它。 - 脚本和图片文件都优先使用绝对路径。不要在生成的命令中依赖
~展开。安全默认值:
python3 /absolute/path/to/skills/easyimage-uploader/scripts/upload_easyimage.py /absolute/path/to/image
- 如需要,使用绝对路径指向特定配置文件:
python3 /absolute/path/to/skills/easyimage-uploader/scripts/upload_easyimage.py /absolute/path/to/image \
--config /absolute/path/to/config.json
- 如需要,使用明确的 CLI 值覆盖:
python3 /absolute/path/to/skills/easyimage-uploader/scripts/upload_easyimage.py /absolute/path/to/image \
--server https://img.example.com \
--token YOUR_TOKEN
- 捆绑的脚本会为图片和配置参数规范化
~和相对路径,但在示例和实际执行中仍优先使用绝对路径以避免特定于 shell 的意外。 - 解析 JSON 输出。
- 如果
ok为 true,向用户返回url。仅在有用时提及thumb。 - 除非用户明确要求删除功能,否则不要暴露
delete_url。 - 如果上传失败,使用
code或错误有效负载解释可能的原因。
失败处理
当脚本返回失败有效负载时:
network_error:服务器无法访问、DNS/TLS/网络问题或超时http_error:服务器返回了非 2xx HTTP 响应invalid_json:服务器响应异常- EasyImages
code值应使用references/api.md解释
常见用户友好解释:
202:服务器端上传配额已满205:当前客户端被 EasyImages 允许/拒绝规则阻止401:服务器要求登录上传而非仅令牌上传403:令牌无效或签名检查失败406:文件类型被拒绝
注意事项
- 使用此技能处理已存在于磁盘上的本地文件。
- 如果用户只给了一个远程 URL 并希望镜像它,仅在适当和允许时先下载它。
- 优先返回直接图片
url作为主要结果。 - 保持密钥安全。永远不要将配置的令牌回显给用户。
config.json包含密钥。保持文件权限严格,避免将其提交到公开仓库。