volcengine-ai-mediakit 安全扫描报告 — 可信 | ClawSafe

5 /100

volcengine-ai-mediakit

火山引擎 AI MediaKit 音视频处理 Skill

火山引擎 VOD 音视频处理官方 Skill，代码实现与文档描述一致，无恶意行为，凭证仅用于官方 API 鉴权。

技能名称volcengine-ai-mediakit

分析耗时55.7s

引擎pi

✓

可以安装

可直接使用

安全发现 3 项

严重性	安全发现	位置
低危	多环境变量别名支持 load_credentials() 支持 VOLCENGINE_ACCESS_KEY_ID/VOLC_ACCESSKEY/VOLC_ACCESS_KEY 等多种别名，兼容性设计，无安全风险 `elif "VOLC_ACCESSKEY" in os.environ: ak = os.environ.get("VOLC_ACCESSKEY")` → 无需修复，功能性设计	`vod_transport.py:79`
低危	.env 文件自动加载 api_manage.py 自动从 cwd/脚本目录/home 目录加载 .env 文件（override=False），仅在明确目录存在时加载 `for base in [os.getcwd(), os.path.dirname(os.path.abspath(__file__)), os.path.expanduser("~")]:` → 无需修复，符合预期的配置管理	`api_manage.py:49`
提示	本地文件路径白名单上传脚本实现了路径校验，只允许 workspace/userdata/tmp 目录 `_ALLOWED_PATH_PREFIXES = [ws, userdata/, /tmp]` → 安全最佳实践，已正确实现	`upload_media.py:34`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:本地文件上传限制在 workspace/userdata/tmp
网络访问	`READ`	`READ`	✓ 一致	仅请求 vod.volcengineapi.com 官方域名
命令执行	`NONE`	`NONE`	—	无 subprocess/eval/exec 调用
环境变量	`WRITE`	`READ`	✓ 一致	vod_transport.py:79-101 读取多种 AK/SK 别名

15 项发现

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/76542?lang=zh

references/00-billing-instructions.md:5

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/1941016?lang=zh

references/00-billing-instructions.md:7

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/1941013?lang=zh

references/00-billing-instructions.md:8

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/177122

references/00-billing-instructions.md:10

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/1941015?lang=zh

references/00-billing-instructions.md:10

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/76542?lang=zh#%E5%AD%98%E5%82%A8%E6%B5%81%E5%87%BA

references/00-billing-instructions.md:11

🔗

中危外部 URL 外部 URL

https://cdn.example.com/output.mp4

references/01-stitching.md:48

🔗

中危外部 URL 外部 URL

https://cdn.example.com/output.m4a

references/07-extract-audio.md:22

🔗

中危外部 URL 外部 URL

https://cdn.example.com/voice.m4a

references/10-voice-separation.md:23

🔗

中危外部 URL 外部 URL

https://cdn.example.com/bg.m4a

references/10-voice-separation.md:24

🔗

中危外部 URL 外部 URL

https://cdn.example.com/segment_001.mp4

references/19-intelligent-slicing.md:24

🔗

中危外部 URL 外部 URL

https://cdn.example.com/output.webm

references/20-portrait-matting.md:24

🔗

中危外部 URL 外部 URL

https://xxx.volcvod.com/xxx.mp4

references/22-comic-style.md:58

🔗

中危外部 URL 外部 URL

https://www.volcengine.com/docs/4/1941013#%E8%A7%86%E9%A2%91-ai-%E5%BA%94%E7%94%A8

references/24-video-translation.md:73

🔗

中危外部 URL 外部 URL

https://cdn.example.com/xxx/video.mp4?auth=xxx

references/27-get-media-info.md:41

目录结构

69 文件 · 237.3 KB · 6859 行

Python 38f · 4574L Markdown 30f · 2268L Text 1f · 17L

├─ ▾ 📁 references

│ ├─ 📝 00-billing-instructions.md Markdown 10L · 1.5 KB

│ ├─ 📝 00-detail.md Markdown 8L · 715 B

│ ├─ 📝 01-stitching.md Markdown 67L · 1.8 KB

│ ├─ 📝 02-clipping.md Markdown 39L · 995 B

│ ├─ 📝 03-flip.md Markdown 38L · 932 B

│ ├─ 📝 04-speedup.md Markdown 55L · 1.1 KB

│ ├─ 📝 05-image-to-video.md Markdown 53L · 1.7 KB

│ ├─ 📝 06-compile.md Markdown 51L · 1.6 KB

│ ├─ 📝 07-extract-audio.md Markdown 33L · 686 B

│ ├─ 📝 08-mix-audios.md Markdown 43L · 943 B

│ ├─ 📝 09-add-sub-video.md Markdown 54L · 1.9 KB

│ ├─ 📝 10-voice-separation.md Markdown 48L · 1.3 KB

│ ├─ 📝 11-noise-reduction.md Markdown 44L · 1.1 KB

│ ├─ 📝 12-quality-enhance.md Markdown 40L · 1004 B

│ ├─ 📝 13-super-resolution.md Markdown 63L · 1.5 KB

│ ├─ 📝 14-interlacing.md Markdown 41L · 1023 B

│ ├─ 📝 15-asr-speech-to-text.md Markdown 73L · 1.7 KB

│ ├─ 📝 16-ocr-text-extract.md Markdown 39L · 845 B

│ ├─ 📝 17-subtitle-removal.md Markdown 39L · 888 B

│ ├─ 📝 18-add-subtitle.md Markdown 85L · 2.9 KB

│ ├─ 📝 19-intelligent-slicing.md Markdown 40L · 1.2 KB

│ ├─ 📝 20-portrait-matting.md Markdown 40L · 1.0 KB

│ ├─ 📝 21-green-screen.md Markdown 40L · 1010 B

│ ├─ 📝 22-comic-style.md Markdown 99L · 2.5 KB

│ ├─ 📝 23-highlight.md Markdown 143L · 3.6 KB

│ ├─ 📝 24-video-translation.md Markdown 287L · 9.6 KB

│ ├─ 📝 25-drama-recap.md Markdown 238L · 7.4 KB

│ ├─ 📝 26-drama-script.md Markdown 148L · 4.3 KB

│ └─ 📝 27-get-media-info.md Markdown 52L · 1.5 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 add_subtitle.py Python 50L · 1.5 KB

│ ├─ 🐍 api_manage.py Python 1161L · 50.2 KB

│ ├─ 🐍 asr_speech_to_text.py Python 42L · 1.1 KB

│ ├─ 🐍 clipping.py Python 38L · 1.0 KB

│ ├─ 🐍 comic_style.py Python 153L · 5.3 KB

│ ├─ 🐍 compile.py Python 42L · 1.4 KB

│ ├─ 🐍 drama_recap.py Python 276L · 11.0 KB

│ ├─ 🐍 drama_script.py Python 184L · 6.3 KB

│ ├─ 🐍 extract_audio.py Python 35L · 945 B

│ ├─ 🐍 flip.py Python 32L · 852 B

│ ├─ 🐍 get_media_info.py Python 114L · 3.6 KB

│ ├─ 🐍 green_screen.py Python 45L · 1.2 KB

│ ├─ 🐍 highlight.py Python 140L · 4.6 KB

│ ├─ 🐍 image_to_video.py Python 40L · 1.2 KB

│ ├─ 🐍 intelligent_slicing.py Python 43L · 1.2 KB

│ ├─ 🐍 interlacing.py Python 50L · 1.4 KB

│ ├─ 🐍 list_translation.py Python 133L · 3.9 KB

│ ├─ 🐍 log_utils.py Python 29L · 849 B

│ ├─ 🐍 mix_audios.py Python 32L · 884 B

│ ├─ 🐍 noise_reduction.py Python 40L · 1.0 KB

│ ├─ 🐍 ocr_text_extract.py Python 37L · 930 B

│ ├─ 🐍 poll_media.py Python 31L · 923 B

│ ├─ 🐍 poll_translation.py Python 102L · 2.6 KB

│ ├─ 🐍 poll_vcreative.py Python 24L · 652 B

│ ├─ 🐍 portrait_matting.py Python 45L · 1.3 KB

│ ├─ 🐍 quality_enhance.py Python 43L · 1.2 KB

│ ├─ 🐍 speedup.py Python 48L · 1.4 KB

│ ├─ 🐍 stitching.py Python 41L · 1.3 KB

│ ├─ 🐍 subtitle_removal.py Python 41L · 1.1 KB

│ ├─ 🐍 super_resolution.py Python 58L · 1.9 KB

│ ├─ 🐍 upload_media.py Python 206L · 6.5 KB

│ ├─ 🐍 video_translation.py Python 362L · 13.8 KB

│ ├─ 🐍 vod_api_constants.py Python 43L · 1.8 KB

│ ├─ 🐍 vod_common.py Python 108L · 4.4 KB

│ ├─ 🐍 vod_local_upload.py Python 421L · 17.5 KB

│ ├─ 🐍 vod_transport.py Python 124L · 4.2 KB

│ ├─ 🐍 voice_separation.py Python 37L · 968 B

│ └─ 🐍 volc_request.py Python 124L · 4.0 KB

├─ 📄 LICENSE.txt Text 17L · 879 B

└─ 📝 SKILL.md Markdown 258L · 12.7 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，但为可信库
`python-dotenv`	`*`	pip	否	无版本锁定，但为可信库
`urllib`	`内置`	stdlib	否	Python 标准库

安全亮点

✓ 无 subprocess/eval/exec 等危险函数调用

✓ 无 base64/编码 shell 命令

✓ 凭证仅用于官方 VOD API HMAC 签名，无外传

✓ 网络请求仅指向 vod.volcengineapi.com 官方域名

✓ 本地文件上传实现了路径白名单限制

✓ 文档与代码行为高度一致，无阴影功能

✓ 第三方依赖为 requests/python-dotenv/urllib，均为标准库或知名库