扫描报告
5 /100
media-generation
Generate images, edit existing images, create short videos, run inpainting/outpainting and object-focused edits, use reference images as provider inputs, batch related media jobs from a manifest, and fetch returned media from URLs/HTML/JSON/data URLs/base64.
标准 AI 媒体生成技能,所有操作与声明一致,无恶意行为发现。subprocess 调用仅用于调用声明的脚本 helpers,requests 库用于调用外部 AI provider API,无敏感数据外泄风险。
可以安装
可安全使用。建议在生产环境中锁定 requests 和 Pillow 依赖版本。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 依赖包无版本锁定 供应链 | scripts/generate_image.py:14 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | 所有脚本写入 tmp/images/ 和 tmp/videos/,符合声明 |
| 网络访问 | READ | WRITE | ✓ 一致 | 调用 AI provider API (POST) 和下载媒体 (GET),符合媒体生成核心功能 |
| 命令执行 | NONE | WRITE | ✓ 一致 | subprocess.run 调用其他脚本 helpers,但 SKILL.md 明确列出这些脚本作为 helpers |
目录结构
17 文件 · 100.0 KB · 2493 行 Python 13f · 2014L
Markdown 4f · 479L
├─
▾
references
│ ├─
batch-workflows.md
Markdown
│ ├─
model-capabilities.md
Markdown
│ └─
reference-image-workflow.md
Markdown
├─
▾
scripts
│ ├─
edit_image.py
Python
│ ├─
fetch_generated_media.py
Python
│ ├─
generate_batch_media.py
Python
│ ├─
generate_consistent_media.py
Python
│ ├─
generate_image.py
Python
│ ├─
generate_video.py
Python
│ ├─
mask_inpaint.py
Python
│ ├─
media_request_common.py
Python
│ ├─
object_select_edit.py
Python
│ ├─
outpaint_image.py
Python
│ ├─
prepare_object_mask.py
Python
│ ├─
reference_media.py
Python
│ └─
smoke_test.py
Python
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,建议锁定 >=2.28.0 |
Pillow | * | pip | 否 | 无版本锁定,建议锁定 >=9.0.0 |
安全亮点
✓ 代码结构清晰,13 个 Python 脚本共 2014 行,职责分离良好
✓ SKILL.md 文档完整,涵盖所有 9 个主要 helper 脚本
✓ 配置文件加载逻辑健壮,支持 ~/.openclaw/openclaw.json 和 OPENCLAW_CONFIG 环境变量
✓ 错误处理完善,提供 failure_hints 帮助诊断 API 调用失败
✓ 无凭证收割行为,仅读取本地配置文件中的 API key 用于认证
✓ 无数据外泄,生成媒体保存到本地 tmp/ 目录
✓ 无代码混淆或隐藏执行路径
✓ subprocess 调用范围明确,仅用于调用声明的脚本 helpers
✓ batch manifest 支持 JSONL 格式和模板变量,实用性强
✓ async video polling 逻辑完善,支持状态查询和超时控制