by 安全扫描
OpenClaw
安全
high confidence该技能的请求和运行时指令与基于云的视频编辑服务一致:它只需要一个服务令牌,将用户视频上传至远程后端,且不包含任何意外的二进制文件或安装项。
评估建议
此技能会将您的视频及相关编辑指令上传至第三方云服务(mega-api-prod.nemovideo.ai),并需要 NEMO_TOKEN(若无则自动申请匿名 token)。安装前,请确认您愿意将媒体文件发送至该服务,并查阅其隐私/保留政策。注意:SKILL.md 提到本地配置路径 ~/.config/nemovideo/,但注册元数据未提及——请向发布者确认 token 或会话状态是否会写入本地。如需掌控,请自行提供 NEMO_TOKEN,而非让技能自动获取匿名 token。...详细分析 ▾
✓ 用途与能力
该技能宣传云端关键帧视频编辑,其说明仅涵盖上传媒体、创建会话、流式编辑(SSE)及导出渲染 MP4。为达成此目的,请求服务令牌(NEMO_TOKEN)并调用所述 nemovideo.ai 端点属合理范围。一处小不一致:SKILL.md 的 frontmatter 包含 configPaths 条目(~/.config/nemovideo/),而注册元数据未列出所需配置路径。
ℹ 指令范围
指令严格限定在视频编辑范围内(校验 token、创建会话、上传文件、使用 SSE、导出)。它们明确要求代理将用户提供的媒体上传至外部云 API,并向用户流式传输状态。这对云渲染服务属预期行为,但意味着用户媒体及生成的会话 token 将离开本地环境——须确保用户同意。该技能还会从安装路径推导 attribution 头(通过安装路径检测平台),对纯指令型技能而言可能产生歧义。
✓ 安装机制
无安装规范、无代码文件——风险最低的发布模式。该技能仅提供指令,依赖现有运行时 HTTP 能力;安装器不会下载或写入任何内容。
ℹ 凭证需求
仅 NEMO_TOKEN 被声明为必需/主键,与云端 API 服务一致。若缺少该环境变量,skill 亦支持调用服务获取匿名 token。SKILL.md 中的元数据引用了配置路径 ~/.config/nemovideo/,但该路径未出现在注册表的必需配置路径中——需澄清 agent 是否会读取该路径或在此存储 token。
✓ 持久化与权限
always 为 false 且无需安装,因此该 skill 不会请求常驻/强制包含或提升权限。它仅建议在会话期间保留 session_id,这是常规做法。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
Keyframes Video Editing 1.0.0 — 初始版本 - 推出云端 AI 视频编辑,支持精细关键帧控制。 - 支持 MP4、MOV、AVI、WebM 文件,最大 500MB;输出 1080p MP4。 - 自动连接:检查/获取 NEMO_TOKEN,管理会话,引导用户完成设置。 - 处理上传、导出、积分、时间轴状态,并给出清晰提示。 - 将后端“GUI”响应映射为 API 动作,提供友好状态更新。 - 含详细错误处理、时间轴摘要及高效编辑的可操作建议。
● 无害
安装命令
点击复制官方npx clawhub@latest install keyframes-video-editing
镜像加速npx clawhub@latest install keyframes-video-editing --registry https://cn.longxiaskill.com镜像同步中