Name: ai-product-space Security Report — Trusted | ClawSafe
Item: ai-product-space
Rating: 100
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

0 /100

ai-product-space

Upload a single product photo and AI generates full ecommerce assets — main images, scene shots, feature posters, marketing copy, and 8-second showcase videos.

纯前端电商素材生成技能，仅调用远程 API 生成图片和视频，无本地敏感操作，代码行为与文档完全一致。

Skill Nameai-product-space

Duration30.6s

Enginepi

ClawHub Openclaw Skill v1.0.4 by corinbtc

📥 250 📦 1

ClawHub Verdict Suspicious llm_suspiciouspotential_exfiltration

✓

Safe to install

可直接使用，仅需确保 baseUrl 配置为官方域名 https://renshevy.com。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	dist/lib/api-client.js:47 仅读取用户指定的图片路径用于上传
Network	`READ`	`READ`	✓ Aligned	dist/lib/api-client.js:40 仅向配置的 baseUrl 发送 API 请求
Shell	`NONE`	`NONE`	—	无任何 shell 执行代码
Environment	`READ`	`READ`	✓ Aligned	dist/index.js:60 仅读取 APS_BASE_URL 配置项
Skill Invoke	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明 7 个工具能力，代码完整实现
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化代码
Database	`NONE`	`NONE`	—	无数据库操作

4 findings

🔗

Medium External URL 外部 URL

https://keepachangelog.com/en/1.1.0/

CHANGELOG.md:5

🔗

Medium External URL 外部 URL

https://semver.org/spec/v2.0.0.html

CHANGELOG.md:6

🔗

Medium External URL 外部 URL

https://renshevy.com

README.md:53

🔗

Medium External URL 外部 URL

https://...main.jpg

examples/full-pipeline.md:42

File Tree

23 files · 43.6 KB · 1209 lines

JavaScript 11f · 610L Markdown 6f · 393L JSON 6f · 206L

├─ ▾ 📁 dist

│ ├─ ▾ 📁 lib

│ │ ├─ 📜 api-client.js JavaScript 171L · 6.5 KB

│ │ └─ 📜 types.js JavaScript 2L · 77 B

│ ├─ ▾ 📁 tools

│ │ ├─ 📜 create-space.js JavaScript 21L · 812 B

│ │ ├─ 📜 generate-image.js JavaScript 40L · 1.5 KB

│ │ ├─ 📜 generate-video.js JavaScript 46L · 1.9 KB

│ │ ├─ 📜 get-space.js JavaScript 52L · 2.1 KB

│ │ ├─ 📜 list-assets.js JavaScript 40L · 1.4 KB

│ │ ├─ 📜 pipeline-formatter.js JavaScript 60L · 2.7 KB

│ │ ├─ 📜 run-pipeline.js JavaScript 48L · 2.0 KB

│ │ └─ 📜 upload-image.js JavaScript 38L · 1.5 KB

│ └─ 📜 index.js JavaScript 92L · 3.7 KB

├─ ▾ 📁 examples

│ ├─ 📝 full-pipeline.md Markdown 44L · 1.7 KB

│ └─ 📝 single-image.md Markdown 17L · 654 B

├─ 📋 _meta.json JSON 12L · 472 B

├─ 📝 CHANGELOG.md Markdown 56L · 2.8 KB

├─ 📋 claw.json JSON 37L · 1.0 KB

├─ 📋 clawhub.json JSON 43L · 2.0 KB

├─ 📝 instructions.md Markdown 46L · 1.9 KB

├─ 📋 openclaw.plugin.json JSON 22L · 608 B

├─ 📋 package-lock.json JSON 33L · 827 B

├─ 📋 package.json JSON 59L · 1.2 KB

├─ 📝 README.md Markdown 107L · 2.9 KB

└─ 📝 SKILL.md Markdown 123L · 3.4 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`typescript`	`^5.0.0`	npm devDependencies	No	仅开发时编译使用，不影响运行时

Security Positives

✓ 代码结构清晰，所有工具函数独立实现单一职责

✓ 文档(SKILL.md)与实际代码能力完全一致，无阴影功能

✓ 无 shell 执行、代码混淆或动态代码生成

✓ 网络请求仅发往用户配置的 baseUrl，无可疑 IP 或第三方域名

✓ 文件系统仅读取用户明确指定的图片路径用于上传

✓ 无环境变量遍历、无凭证收割行为

✓ 无持久化机制、无计划任务

✓ 无外部脚本下载或远程代码执行

✓ 无恶意依赖，仅使用 TypeScript 编译器作为 devDependency

Scan Report

File Tree

Dependencies 1 items

Security Positives