Name: media-generation Security Report — Trusted | ClawSafe
Item: media-generation
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

media-generation

Generate images, edit existing images, create short videos, run inpainting/outpainting and object-focused edits, use reference images as provider inputs, batch related media jobs from a manifest, and fetch returned media from URLs/HTML/JSON/data URLs/base64.

标准 AI 媒体生成技能，所有操作与声明一致，无恶意行为发现。subprocess 调用仅用于调用声明的脚本 helpers，requests 库用于调用外部 AI provider API，无敏感数据外泄风险。

Skill Namemedia-generation

Duration50.5s

Enginepi

ClawHub Media Generation v2.2.0 by lijiazhen0623

📥 222 📦 1

ClawHub Verdict Suspicious dynamic_code_executionllm_suspicious

✓

Safe to install

可安全使用。建议在生产环境中锁定 requests 和 Pillow 依赖版本。

Findings 1 items

Severity	Finding	Location
Low	依赖包无版本锁定 Supply Chain scripts/generate_image.py 等导入 requests 但未指定版本，mask_inpaint.py、outpaint_image.py 使用 PIL/Pillow 未锁定版本 `import requests` → 建议在生产环境中添加 requirements.txt 锁定版本：requests>=2.28.0 Pillow>=9.0.0	`scripts/generate_image.py:14`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	所有脚本写入 tmp/images/ 和 tmp/videos/，符合声明
Network	`READ`	`WRITE`	✓ Aligned	调用 AI provider API (POST) 和下载媒体 (GET)，符合媒体生成核心功能
Shell	`NONE`	`WRITE`	✓ Aligned	subprocess.run 调用其他脚本 helpers，但 SKILL.md 明确列出这些脚本作为 helpers

File Tree

17 files · 100.0 KB · 2493 lines

Python 13f · 2014L Markdown 4f · 479L

├─ ▾ 📁 references

│ ├─ 📝 batch-workflows.md Markdown 89L · 1.8 KB

│ ├─ 📝 model-capabilities.md Markdown 124L · 3.3 KB

│ └─ 📝 reference-image-workflow.md Markdown 70L · 2.6 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 edit_image.py Python 149L · 6.1 KB

│ ├─ 🐍 fetch_generated_media.py Python 174L · 5.4 KB

│ ├─ 🐍 generate_batch_media.py Python 201L · 7.0 KB

│ ├─ 🐍 generate_consistent_media.py Python 9L · 258 B

│ ├─ 🐍 generate_image.py Python 156L · 6.1 KB

│ ├─ 🐍 generate_video.py Python 289L · 11.5 KB

│ ├─ 🐍 mask_inpaint.py Python 219L · 8.7 KB

│ ├─ 🐍 media_request_common.py Python 149L · 5.4 KB

│ ├─ 🐍 object_select_edit.py Python 116L · 4.9 KB

│ ├─ 🐍 outpaint_image.py Python 120L · 5.5 KB

│ ├─ 🐍 prepare_object_mask.py Python 99L · 3.6 KB

│ ├─ 🐍 reference_media.py Python 194L · 8.6 KB

│ └─ 🐍 smoke_test.py Python 139L · 10.2 KB

└─ 📝 SKILL.md Markdown 196L · 9.1 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议锁定 >=2.28.0
`Pillow`	`*`	pip	No	无版本锁定，建议锁定 >=9.0.0

Security Positives

✓ 代码结构清晰，13 个 Python 脚本共 2014 行，职责分离良好

✓ SKILL.md 文档完整，涵盖所有 9 个主要 helper 脚本

✓ 配置文件加载逻辑健壮，支持 ~/.openclaw/openclaw.json 和 OPENCLAW_CONFIG 环境变量

✓ 错误处理完善，提供 failure_hints 帮助诊断 API 调用失败

✓ 无凭证收割行为，仅读取本地配置文件中的 API key 用于认证

✓ 无数据外泄，生成媒体保存到本地 tmp/ 目录

✓ 无代码混淆或隐藏执行路径

✓ subprocess 调用范围明确，仅用于调用声明的脚本 helpers

✓ batch manifest 支持 JSONL 格式和模板变量，实用性强

✓ async video polling 逻辑完善，支持状态查询和超时控制

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives