中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
oatda-generate-image
Generate images from text descriptions using AI models through OATDA's unified API
纯文档型技能,仅包含图片生成API调用的命令模板,无脚本、无依赖。凭证访问有声明,网络请求仅限官方API域名,无阴影行为。
Skill Nameoatda-generate-image
Duration36.1s
Enginepi
Safe to install
无需修改,可安全使用。

Findings 4 items

Severity Finding Location
Info
纯文档型技能,无可执行脚本
该技能仅包含 SKILL.md 中的 bash 命令模板,不包含任何脚本文件。无代码执行风险。
--- name: oatda-generate-image
→ 无需操作
 SKILL.md:1
Info
凭证访问声明完整
metadata.openclaw.requires.config 明确声明访问 ~/.oatda/credentials.json,openclaw.primaryEnv 声明 OATDA_API_KEY 环境变量。凭证仅用于调用官方 API,无外传行为。
"config": ["~/.oatda/credentials.json"]
→ 无需操作
 SKILL.md:9
Info
网络请求仅限官方域名
所有 API 调用均指向 https://oatda.com 域名,无其他外部端点或可疑 IP。无凭证外泄风险。
https://oatda.com/api/v1/llm/generate-image
→ 无需操作
 SKILL.md:66
Info
安全最佳实践:凭证脱敏
文档明确要求 'Never print the full API key. Only verify existence or show first 8 chars',体现安全意识。
**Security**: Never print the full API key
→ 无需操作
 SKILL.md:24
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned SKILL.md:20 cat ~/.oatda/credentials.json
Network WRITE WRITE ✓ Aligned SKILL.md:66 curl -X POST https://oatda.com/api/v1/llm/generate-image
Shell WRITE WRITE ✓ Aligned SKILL.md:56 curl + jq 命令组合
Environment READ READ ✓ Aligned SKILL.md:20 ${OATDA_API_KEY:-$(...)}
6 findings
🔗
Medium External URL 外部 URL
https://oatda.com
SKILL.md:4
🔗
Medium External URL 外部 URL
https://oatda.com/api/v1/llm/models?type=image
SKILL.md:54
🔗
Medium External URL 外部 URL
https://oatda.com/api/v1/llm/generate-image
SKILL.md:66
🔗
Medium External URL 外部 URL
https://cdn.example.com/generated-image.png
SKILL.md:105
🔗
Medium External URL 外部 URL
https://cdn.example.com/image-1.png
SKILL.md:107
🔗
Medium External URL 外部 URL
https://cdn.example.com/image-2.png
SKILL.md:108

File Tree

1 files · 7.0 KB · 185 lines
Markdown 1f · 185L
└─ 📝 SKILL.md Markdown 185L · 7.0 KB

Security Positives

✓ 纯文档型技能,无可执行代码,安全边界清晰
✓ 凭证访问完全声明于 metadata,无阴影操作
✓ 凭证仅用于调用官方 API,无外传行为
✓ 网络请求仅限官方域名 https://oatda.com
✓ 文档包含安全最佳实践(凭证脱敏)
✓ 错误处理完整(401/400/429/content_policy)
✓ 无 base64 编码、eval、动态代码生成等可疑模式
✓ 无敏感路径遍历(~/.ssh、~/.aws、.env)
✓ 无隐藏指令(HTML 注释、混淆代码)