seedance-2-video-gen 安全扫描报告 — 低风险 | ClawSafe

15 /100

seedance-2-video-gen

Seedance 2.0 AI video generation via EvoLink API. Three modes — text-to-video, image-to-video, reference-to-video.

合法视频生成技能，功能与文档基本一致，网络请求指向声明的 evolink.ai API，但存在权限声明宽泛的轻微瑕疵。

技能名称seedance-2-video-gen

分析耗时50.3s

引擎pi

✓

可以安装

可安全使用。建议将 _meta.json 中 resources 字段从 NONE 改为 READ（network）以匹配实际行为。

安全发现 3 项

严重性	安全发现	位置
低危	权限声明与实际不符 _meta.json 声明 resources: NONE，但实际代码需要 shell:WRITE (执行 curl)、filesystem:WRITE (复制文件) 和 network:READ (调用外部 API)。这是文档瑕疵而非安全威胁，因为 SKILL.md 正确描述了脚本功能。 `"resources": {"network": "NONE", "filesystem": "NONE", "shell": "NONE"}` → 更新 _meta.json 声明为: network:READ, filesystem:WRITE, shell:WRITE，或在 SKILL.md 中明确声明所需权限	`_meta.json:3`
提示	依赖版本未锁定 package.json 无 dependencies，无已知漏洞风险。 `package.json 无 dependencies 字段` → 保持现状，无安全风险	`package.json:1`
提示	硬编码 API 端点 scripts/seedance-gen.sh 硬编码 API_BASE="https://api.evolink.ai"，不可配置。这属于正常的 API 客户端行为。 `readonly API_BASE="https://api.evolink.ai"` → 无风险，这是预期行为	`scripts/seedance-gen.sh:10`

资源类型	声明权限	推断权限	状态	证据
网络访问	`NONE`	`READ`	✓ 一致	scripts/seedance-gen.sh:274 调用 https://api.evolink.ai
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/seedance-gen.sh 通过 curl 调用外部 API；bin/cli.js 执行 npm install 等命令
文件系统	`NONE`	`WRITE`	✓ 一致	bin/cli.js:copySkillFiles() 复制文件到 skills 目录

15 项发现

🔗

中危外部 URL 外部 URL

https://evolink.ai/signup?utm_source=github&utm_medium=readme&utm_campaign=seedance2-video-gen-skill-for-openclaw

README.de.md:11

🔗

中危外部 URL 外部 URL

https://evolink.ai?utm_source=github&utm_medium=readme&utm_campaign=seedance2-video-gen

README.de.md:31

🔗

中危外部 URL 外部 URL

https://evolink.ai/dashboard?utm_source=github&utm_medium=readme&utm_campaign=seedance2-video-gen

README.de.md:172

🔗

中危外部 URL 外部 URL

https://clawhub.ai/kn74p4xy6sja0199cea53anecs81kqjs/seedance-2-video-gen

README.de.md:190

🔗

中危外部 URL 外部 URL

https://evolink.ai

SKILL.md:38

🔗

中危外部 URL 外部 URL

https://evolink.ai/dashboard

SKILL.md:132

🔗

中危外部 URL 外部 URL

https://evolink.ai/dashboard.

SKILL.md:136

🔗

中危外部 URL 外部 URL

https://evolink.ai/dashboard?utm_source=github&utm_medium=readme&utm_campaign=seedance2-video-gen-skill-for-openclaw

SKILL.md:144

🔗

中危外部 URL 外部 URL

https://evolink.ai/signup

bin/cli.js:58

🔗

中危外部 URL 外部 URL

https://curl.se/windows/

bin/cli.js:262

🔗

中危外部 URL 外部 URL

https://stedolan.github.io/jq/

bin/cli.js:271

🔗

中危外部 URL 外部 URL

https://api.evolink.ai/v1/videos/generations

references/api-params.md:9

🔗

中危外部 URL 外部 URL

https://api.evolink.ai/v1/tasks/

references/api-params.md:16

🔗

中危外部 URL 外部 URL

https://cdn.example.com/video.mp4

references/api-params.md:290

🔗

中危外部 URL 外部 URL

https://api.evolink.ai

scripts/seedance-gen.sh:7

目录结构

15 文件 · 122.5 KB · 3404 行

Markdown 11f · 2381L Shell 1f · 531L JavaScript 1f · 460L JSON 2f · 32L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 460L · 18.2 KB

├─ ▾ 📁 references

│ └─ 📝 api-params.md Markdown 391L · 12.7 KB

├─ ▾ 📁 scripts

│ └─ 🔧 seedance-gen.sh Shell 531L · 18.6 KB

├─ 📋 _meta.json JSON 5L · 144 B

├─ 📋 package.json JSON 27L · 689 B

├─ 📝 README.de.md Markdown 202L · 6.9 KB

├─ 📝 README.es.md Markdown 202L · 6.8 KB

├─ 📝 README.fr.md Markdown 202L · 7.1 KB

├─ 📝 README.ja.md Markdown 202L · 7.5 KB

├─ 📝 README.ko.md Markdown 202L · 7.0 KB

├─ 📝 README.md Markdown 205L · 6.6 KB

├─ 📝 README.tr.md Markdown 202L · 6.7 KB

├─ 📝 README.zh-CN.md Markdown 203L · 6.1 KB

├─ 📝 README.zh-TW.md Markdown 202L · 6.1 KB

└─ 📝 SKILL.md Markdown 168L · 11.3 KB

安全亮点

✓ 功能单一明确：仅用于调用 EvoLink API 生成视频，无多余功能

✓ JSON payload 使用 jq 构建，无 shell 注入风险 (scripts/seedance-gen.sh:206-217)

✓ API 凭证仅通过 Bearer Token 传递，不存储或外传

✓ 所有外部网络请求仅指向声明的 evolink.ai 域名

✓ CLI 安装器提供交互式确认，用户知情同意后才修改 shell 配置

✓ 错误处理完善，提供友好的错误消息和解决方案