by 安全扫描
OpenClaw
安全
high confidence该技能与其声明的目的一致:使用 NEMO 后端 API 将音频合并到视频中,仅请求一个服务令牌(NEMO_TOKEN),并包含获取和使用匿名令牌及会话 ID 进行上传/导出的说明。
评估建议
此技能看似功能如其所述,但会将你的视频/音频上传至外部服务(mega-api-prod.nemovideo.ai),并可能在 ~/.config/nemovideo/ 中持久化匿名 token/session ID。安装前请注意:
1. 确认你信任该外部域名及其隐私/数据保留政策——若对服务不放心,请勿上传敏感内容;
2. 如需掌控,请自行在 NEMO_TOKEN 中设置 token,而非让技能自动生成并保存;
3. 技能可能附带 attribution header,会暴露 agent 安装路径及技能版本;
4. 因技能来源未知,建议先用非敏感样本测试并监控网络活动;
5. 若需更高保障,使用前请索取技能源码或官方发布者信息。...详细分析 ▾
✓ 用途与能力
名称/描述与运行时说明一致:SKILL.md 仅描述调用 nemo 后端(mega-api-prod.nemovideo.ai)上传媒体、创建渲染任务、轮询状态并返回下载 URL。要求提供 NEMO_TOKEN 和 nemovideo 配置路径,对于与该服务通信的客户端而言是合理的。
ℹ 指令范围
说明包含常规客户端操作(POST anonymous-token、创建会话、上传文件、SSE 流式响应、轮询渲染状态)。还指导检测 agent 安装路径以设置 X-Skill-Platform 标头,并读取技能的 YAML frontmatter 以生成归因标头;这些操作需要读取部分本地状态,但可用于归因说明。技能要求 agent 存储 session_id(并隐式保留/使用令牌),避免向用户展示原始令牌。这是预期行为,但用户需知悉,技能会将其上传的媒体及元数据发送至外部服务。
✓ 安装机制
这是一个仅含指令的技能,没有安装规范,也没有代码文件——磁盘/写入风险最低。不存在远程下载或第三方软件包安装。
✓ 凭证需求
仅需一个环境变量(NEMO_TOKEN),它是所述 API 的主要凭证。声明的配置路径(~/.config/nemovideo/)用于保存服务/会话状态,未请求无关的机密信息。
ℹ 持久化与权限
如果未设置 NEMO_TOKEN,该 skill 会获取并复用一个匿名 token,并指示存储 session_id(意味着在 nemovideo 配置路径下持久化状态)。它不要求 always:true 或任何全局权限,但会维护会话状态并将用户媒体上传至外部服务——用户应预期 token/ID 会与上传内容持久关联。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
初始版本——在线轻松为视频添加音乐。 - 支持上传最大 500MB 的 MP4、MOV、AVI、MP3 文件;可添加背景音乐,20–40 秒内导出 1080p MP4。 - 首次使用引导认证,含免费匿名 token(100 积分,7 天有效期)。 - 支持裁剪、淡入淡出及多轨道(视频、音频、文字)。 - 流程清晰:上传 → 描述编辑 → 下载结果,为内容创作者优化。 - 提示词直接映射操作,错误处理与状态反馈完善。 - 持久会话内可批量与迭代编辑。
● 无害
安装命令
点击复制官方npx clawhub@latest install how-to-add-music-to-video-online
镜像加速npx clawhub@latest install how-to-add-music-to-video-online --registry https://cn.longxiaskill.com