📦 OpenRouter Vision Agent
v1.0.1使用 OpenRouter 的 vision API 和 x-ai/grok-4.1-fast 分析图像。需设置 OPENROUTER_API_KEY 环境变量或由用户提供。当用户要求 des... 时使用。
0· 2·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能的说明与其声明的用途(调用 OpenRouter 的 vision API)一致,但包元数据/依赖项未声明必需的 OPENROUTER_API_KEY,且存在外部数据/隐私暴露(图片会被发送至 openrouter.ai)——这一不匹配及隐私影响需谨慎对待。
评估建议
该技能看似实现了其声称的功能(调用 OpenRouter 的视觉模型),但注册元数据遗漏了必需的 OPENROUTER_API_KEY,明显不匹配。在安装或提供 API 密钥前:
1. 确认技能来源与作者;优先选择有可信主页或源码仓库的技能。
2. 切勿发送敏感/私密图片——该技能会将图片和 URL 发送至 openrouter.ai。
3. 若必须提供 API 密钥,请创建限定权限的密钥并随时准备撤销;绝不复用高权限或长期有效的密钥。
4. 要求发布者在 manifest 的 requires.env 中声明 OPENROUTER_API_KEY,以便平台工具强制执行最小权限。
5. 先用非敏感图片测试,并在 OpenRouter 账户中监控用量/配额。
若无法验证技能来源或 manifest 未修复,切勿提供密钥或安装。...详细分析 ▾
⚠ 用途与能力
SKILL.md 明确要求 OPENROUTER_API_KEY,并描述将图片发送至 https://openrouter.ai,与名称/描述一致。然而,注册元数据未列出任何必需环境变量或主凭证。这种不匹配(清单称无需环境变量,而运行时指令却需要 API 密钥)属于不一致,应在信任该 skill 前予以解决。
✓ 指令范围
运行时指令的范围严格限定为:使用指定模型和 image_url 载荷调用 OpenRouter 的 chat completions 端点。指令明确要求将图片(或 URL)上传至 openrouter.ai,并警告不得发送敏感图片。指令中未涉及任何无关文件、凭据或系统路径。
✓ 安装机制
这是一个仅提供指令的技能,没有安装规范,也没有代码文件。这样可以最大限度降低文件系统风险;技能本身不会下载或安装任何内容。
⚠ 凭证需求
SKILL.md 仅要求一个凭据(OPENROUTER_API_KEY),这符合调用 API 的视觉技能。然而,注册表元数据并未声明该必需的环境变量或主凭据。此差异令人担忧,因为平台级清单应列出技能所需的凭据,以便用户和控制机制评估并保护它们。
✓ 持久化与权限
该技能并非始终启用,也不会请求提升持久化权限。它可由用户调用,默认允许自主运行(技能常见行为),且无迹象表明其会修改其他技能或系统级设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/18
将 OPENROUTER_API_KEY 声明为必需凭据;添加隐私警告,提示图片将被发送至 openrouter.ai
● Pending
安装命令
点击复制官方npx clawhub@latest install openrouter-vision-skill
镜像加速npx clawhub@latest install openrouter-vision-skill --registry https://cn.longxiaskill.com
技能文档
----|-------|
| model | x-ai/grok-4.1-fast |
| messages[].content[].type | text + image_url |
| image_url.url | 公开可访问的 http/https 图片地址 |
| max_tokens | 500–2000 |
输出
解析 JSON 响应中的choices[0].message.content。 注意事项
- 凭证必需:需设置
OPENROUTER_API_KEY环境变量;若无,请向用户索取。 - 隐私:图像(含 URL 及上传文件)将发送至 openrouter.ai,勿用于敏感或私密图像。
- 图片地址须为公开 HTTP/HTTPS 链接
- 支持 JPEG、PNG、WebP 等常见格式
- 本地文件请先上传至公开地址