by 安全扫描
OpenClaw
可疑
high confidence该技能按描述实现了图片压缩,但含不安全默认值(硬编码 webroot 路径)并鼓励使用 sudo 及原地覆盖——对简单压缩器而言行为过度,可能造成意外破坏。
评估建议
勿以 root 或 sudo 身份运行,先检查脚本行为。修改默认路径(现为 /www/wwwroot/lovehibachi_demo/public/static/img),否则可能覆盖网站图片。先复制测试并备份原图;建议添加试运行或备份步骤。勿照搬示例中的 sudo。若继续,请在受控目录内操作,使用 Python 虚拟环境本地安装 Pillow,注意 PNG 可能转 JPEG 而丢失透明通道。我可提供安全补丁建议。...详细分析 ▾
ℹ 用途与能力
名称/描述与脚本一致:基于 Pillow 的 JPG/PNG 批量压缩器。但默认路径(/www/wwwroot/lovehibachi_demo/public/static/img)非常具体,暗示该包原只为某一环境定制。
⚠ 指令范围
SKILL.md 示例要求用 sudo 运行;脚本原地覆盖原图且可扫描任意目录,无 safeguards(无试运行、无备份、无确认),PNG 可能转 JPEG 丢失透明。这些指令扩大风险范围,易造成破坏性变更。
✓ 安装机制
无安装规范,仅含说明与小型 Python 脚本。依赖仅 Pillow(pip)。无外部下载或模糊安装器。
✓ 凭证需求
技能不请求凭据、环境变量或配置路径,无网络访问或外泄。仅有的环境提示是示例中的 sudo(过度授权,但非凭据请求)。
ℹ 持久化与权限
技能不请求常驻或平台高权,但示例鼓励 sudo 且默认路径常需高权限,若疏忽运行将扩大破坏面。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/4
英文描述更新
● 可疑
安装命令
点击复制官方npx clawhub@latest install img-compress
镜像加速npx clawhub@latest install img-compress --registry https://cn.longxiaskill.com
技能文档
# img-compress 基于 Pillow(PIL) 的批量图片压缩工具。 ## 快速使用 ``bash # 将大于 100KB 的图片压缩到 80KB sudo python3 skills/img-compress/scripts/compress_img.py /path/to/images # 自定义目标大小(KB) sudo python3 skills/img-compress/scripts/compress_img.py /path/to/images 150 ` ## 压缩规则 - JPG/JPEG:逐步降低质量(85→50)+ optimize,直到低于目标大小 - PNG:Pillow PNG 压缩(效果有限),推荐使用 pngquant 获得更好效果 - 小于目标大小的文件会被跳过 - 直接覆盖原文件(原地修改) ## 依赖 - Python3 - Pillow:pip3 install Pillow ## 典型场景 `bash # 压缩网站静态资源 sudo python3 skills/img-compress/scripts/compress_img.py /var/www/static/img 100 ``