by 安全扫描
OpenClaw
安全
medium confidence该技能与云视频编辑 API 客户端内部一致:仅请求一个服务令牌,并描述上传和渲染视频的 API 调用,但存在轻微的元数据不一致,以及将用户视频上传至外部服务的常规隐私顾虑。
评估建议
该技能的行为与普通云端视频编辑客户端相同:它会将您的文件上传至外部服务,并需要一个 NEMO_TOKEN(或生成一个临时的匿名令牌)。安装前请注意:1)确认您信任远程域名(mega-api-prod.nemovideo.ai)及其对上传视频的隐私/保留政策;2)若担心本地配置访问,请向发布者询问为何 frontmatter 中列出了 ~/.config/nemovideo/;3)建议使用绑定账户且权限受限的令牌,或选择匿名令牌,避免存储长期凭证;4)在确认条款前,请勿上传敏感素材,可先用非敏感内容测试。...详细分析 ▾
ℹ 用途与能力
名称/描述符合要求:SKILL.md 描述了调用远程视频编辑 API、上传用户视频、创建会话、渲染并返回下载链接。唯一不符的是,注册元数据显示无需配置路径,而 SKILL.md 的 frontmatter 却列出配置路径(~/.config/nemovideo/)——技能文档从未在运行时说明中提及读取该路径,因此 configPath 要求无解释。
✓ 指令范围
运行时指令的范围仅限于与远程 API 通信(认证、会话创建、上传、SSE 处理、渲染/轮询)。若未设置 NEMO_TOKEN,则明确处理匿名令牌创建。指令要求将用户视频/音频文件上传至外部服务(此为预期用途),并提示代理不得暴露令牌或原始 API 输出。
✓ 安装机制
未提供安装规范或代码文件(仅含指令的技能),因此在安装过程中不会向磁盘写入任何内容或下载任何内容。这是风险最低的安装配置。
ℹ 凭证需求
仅声明了一个环境变量(NEMO_TOKEN)作为主变量——适用于云端 API 客户端。若该变量缺失,技能也会自行获取匿名令牌。除非技能确实读取本地配置,否则 SKILL.md 前言中未作说明的配置路径显得不合比例,应予以澄清。
✓ 持久化与权限
始终为 false,且该 skill 可由用户调用;它不会请求持久化/系统级权限。没有迹象表明它会修改其他 skill 或系统设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
Video Editing AI API 技能首发 - 通过云端 AI API 上传并编辑视频(MP4、MOV、AVI、WebM,最大 500MB)。 - 用简单提示自动完成视频裁剪、转场及导出 1080p MP4。 - 自动完成认证、会话管理与 token 刷新。 - 支持裁剪、导出、显示 credits、获取时间线状态等常用编辑操作。 - 针对会话、credits 及文件问题提供详细错误处理。 - 附带云端高速处理与最佳导出实践提示。
● 无害
安装命令
点击复制官方npx clawhub@latest install video-editing-ai-api
镜像加速npx clawhub@latest install video-editing-ai-api --registry https://cn.longxiaskill.com