Name: nanobanana-image-generation 安全扫描报告 — 可信 | ClawSafe
Item: nanobanana-image-generation
Rating: 95
Author: ClawSafe

5 /100

nanobanana-image-generation

Gemini API 图像生成 + 本地 matplotlib 绑图工具，生成科研出版级图片

功能完整的 Gemini 图像生成+本地绑图技能，所有行为均与文档声明一致，无恶意代码、无越权操作、无数据外泄。

技能名称nanobanana-image-generation

分析耗时38.5s

引擎pi

ClawHub materials-science-figure-skill v1.0.5 by grenzlinie

📥 219

ClawHub 判定可疑 potential_exfiltration

✓

可以安装

可直接使用。注意仅通过配置 NANOBANANA_ALLOW_THIRD_PARTY 使用可信第三方端点。

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md: 文件读取仅用于 input images、prompt files、JSON specs；输出仅写 output/nanobanana/ 和…
网络访问	`READ`	`READ`	✓ 一致	SKILL.md: 仅向配置的 Gemini 端点发送 prompt+API key+input images；plot 模式纯本地
命令执行	`NONE`	`NONE`	—	所有脚本均无 subprocess/os.system/eval 调用，纯 urllib/fetch HTTP

1 严重 3 高危 5 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(inlineData.data, "base64"

scripts/generate_image.js:330

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your-provider-key"

SKILL.md:59

🔑

高危 API 密钥疑似硬编码凭证

api_key="your_provider_api_key"

SKILL.md:217

🔑

高危 API 密钥疑似硬编码凭证

api_key="your_zzz_api_key"

SKILL.md:222

🔗

中危外部 URL 外部 URL

https://api.zhizengzeng.com/google

SKILL.md:67

目录结构

15 文件 · 97.8 KB · 2602 行

Markdown 8f · 1264L Python 4f · 965L JavaScript 1f · 348L JSON 1f · 18L YAML 1f · 7L

├─ ▾ 📁 agents

│ └─ 📋 openai.yaml YAML 7L · 361 B

├─ ▾ 📁 references

│ ├─ 📝 api-reference.md Markdown 121L · 3.0 KB

│ ├─ 📝 materials-science-figure-template.md Markdown 167L · 9.9 KB

│ ├─ 📋 materials-science-figure-templates.json JSON 18L · 9.6 KB

│ ├─ 📝 natural-language-plot-workflow.md Markdown 148L · 3.6 KB

│ ├─ 📝 prompt-templates.md Markdown 46L · 2.4 KB

│ ├─ 📝 publication-chart-patterns.md Markdown 99L · 2.4 KB

│ ├─ 📝 publication-figure-design.md Markdown 81L · 2.4 KB

│ └─ 📝 publication-plot-api.md Markdown 254L · 4.8 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 build_materials_figure_prompt.py Python 71L · 2.4 KB

│ ├─ 🐍 build_plot_spec.py Python 198L · 6.2 KB

│ ├─ 📜 generate_image.js JavaScript 348L · 9.4 KB

│ ├─ 🐍 generate_image.py Python 306L · 10.5 KB

│ └─ 🐍 plot_publication_figure.py Python 390L · 13.4 KB

└─ 📝 SKILL.md Markdown 348L · 17.4 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`matplotlib`	`*`	pip	否	无版本锁定但属可信科学计算库，plot 模式本地使用
`numpy`	`*`	pip	否	无版本锁定但属可信数值计算库，plot 模式本地使用
`Node.js built-in (fs, path, url, fetch)`	`bundled`	Node.js stdlib	否	无第三方依赖

安全亮点

✓ 所有脚本代码清晰可审计，无 subprocess/shell 执行，无 base64 解码执行代码

✓ 网络请求使用标准 urllib/fetch，无自定义协议或混淆载荷

✓ 第三方针点端点有 fail-closed 保护（无 --allow-third-party 则拒绝）

✓ API key 支持通过文件读取（NANOBANANA_API_KEY_FILE）避免命令行泄露

✓ plot 模式完全本地运行，无需网络和凭证

✓ prompt-only 模式（--print-prompt / build_materials_figure_prompt.py）可本地预览不触发 API

✓ 文档完整说明了两种模式的边界（image vs plot），权限边界清晰

✓ 代码无环境变量遍历、无凭证收割、无文件遍历越权