ClawHub

Image Generation (Ollama x/z-image-turbo · macOS only)

Security checks across malware telemetry and agentic risk

Overview

The skill mostly does what it says, but ordinary image-generation requests can lead to a WhatsApp send without a clear confirmation step.

Install only if you want this skill to both generate images and potentially send them through WhatsApp. Before use, require the agent to ask for the WhatsApp recipient and to confirm the generated image and caption before every send. Avoid sensitive prompts because the runner logs the constructed command, including prompt text, during verbose execution.

SkillSpector

By NVIDIA
Vulnerability Patterns
  • Trigger AbuseOverly Broad Trigger, Shadow Command Trigger, Keyword Baiting Trigger
  • Prompt InjectionInstruction Override, Hidden Instructions, Exfiltration Commands
  • Data ExfiltrationExternal Transmission, Env Variable Harvesting, File System Enumeration
  • Privilege EscalationExcessive Permissions, Sudo/Root Execution, Credential Access
  • Supply ChainUnpinned Dependencies, External Script Fetching, Obfuscated Code
Findings (2)

Vague Triggers

Medium
Confidence
92% confidence
Finding
Le déclenchement couvre des demandes très générales de génération d’image, ce qui peut faire exécuter automatiquement ce skill dans des contextes où l’utilisateur ne souhaite pas un envoi WhatsApp. Comme le skill enchaîne ensuite vers une action externe de messagerie, un déclenchement trop large augmente le risque d’activation involontaire et de partage non désiré de contenu.

Missing User Warnings

High
Confidence
97% confidence
Finding
La description indique la génération d’image puis son envoi sur WhatsApp, mais ne présente pas cela comme un partage externe nécessitant un consentement clair ni n’avertit sur l’exposition potentielle de données sensibles. Si le prompt, la légende ou l’image contiennent des informations privées, le skill peut provoquer une fuite de données vers un tiers sans transparence suffisante pour l’utilisateur.

VirusTotal

64/64 vendors flagged this skill as clean.

View on VirusTotal