by 安全扫描
OpenClaw
可疑
high confidence该技能声称使用'本地模型',但其运行时指令明确将图像和任务发送到云服务并自动获取/存储令牌;这种不匹配加上隐藏令牌的行为和轻微的元数据不一致值得警惕。
评估建议
该技能会将图像和任务发送到 https://mega-api-prod.nemovideo.ai,并会创建或使用 NEMO_TOKEN 进行云端渲染——尽管它自称是'本地模型'。安装前请注意:1) 不要假设处理是本地的;将上传视为图像离开您的设备,避免发送敏感图像。2) 验证 API 域和服务信誉;考虑自己创建/管理令牌,而不是让技能自动生成并存储。3) 询问开发者或供应商上传和渲染视频的保留期限,以及是否用于训练。4) 注意该技能指示代理隐藏原始 API 响应和令牌——这降低了透明度。5) 如果需要真正的设备端(离线)处理,请勿安装;如果继续,请使用非敏感图像进行测试,并限制令牌的范围/凭据。最后,请就 frontmatter 中提到的配置路径(~/.config/nemovideo/)请求澄清,因为注册表元数据列出了所需配置路径。...详细分析 ▾
⚠ 用途与能力
该技能的名称/显示文本暗示使用'本地模型',但每个运行时操作都指向 mega-api-prod.nemovideo.ai 和云 GPU——因此宣传的目的(本地处理)与实际能力(云渲染)不匹配。YAML frontmatter 还列出了配置路径(~/.config/nemovideo/),尽管注册表元数据没有报告,这是一个内部不一致。
⚠ 指令范围
指令指示代理将用户图像和任务数据上传到外部端点,创建和存储会话令牌,并在不存在时自动获取匿名 NEMO_TOKEN。SKILL.md 告诉代理不要向用户显示原始 API 响应或令牌值,这降低了透明度。它还指示构建归因头需要检测安装路径(读取文件系统安装路径),因此代理可以访问本地路径以填充 X-Skill-Platform。
✓ 安装机制
没有安装规范和代码文件——这只是指令式的,因此安装程序不会向磁盘写入任何内容。与任意下载/安装相比,这降低了供应链风险。
⚠ 凭证需求
只声明了一个环境变量(NEMO_TOKEN),这对于云 API 来说是合适的。但是,该技能的运行时指示代理在未设置 NEMO_TOKEN 时自动 POST 获取匿名令牌并存储它;结合向用户隐藏令牌值的指示,这引发了比例性/透明度问题。frontmatter 提到的配置路径(~/.config/nemovideo/)是另一个意外的访问目标。
ℹ 持久化与权限
该技能不请求'always: true',只要求为会话生命周期存储 session_id 和令牌。允许自主调用(平台默认)。请考虑自主技能加上存储的令牌会增加技能被入侵时的爆炸半径,但该技能不请求超出此范围的提升持久权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
image-to-video-local-model 初始版本发布。- 使用本地运行的 AI 模型(云 GPU 支持)将单张产品照片或插图场景转换为动画 1080p 视频片段。- 简单工作流:上传静态图像并描述所需视频;导出在 1-3 分钟内完成。- 如需要自动设置/身份验证并生成免费试用令牌。- 支持视频、音频和文本叠加;批量和迭代编辑。- 内置设置、文件上传、积分、速率限制和导出资格的错误处理。- 导出为 MP4 和其他常见格式,采用基于会话的工作流。
● 无害
安装命令
点击复制官方npx clawhub@latest install image-to-video-local-model
镜像加速npx clawhub@latest install image-to-video-local-model --registry https://cn.longxiaskill.com
技能文档
用户未提供 SKILL.md 文档内容,无法翻译。