Back to skill
Skillv1.2.0
ClawScan security
短视频创作全能工具 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 14, 2026, 7:20 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能总体与短视频创作目的相符,但文档在运行要求上有未声明的依赖与外部服务调用风险(例如 ffmpeg、videos_understand、ACE Music),这些不一致需要在安装/使用前澄清。
- Guidance
- 要点与建议: - 验证本地环境:SKILL.md 使用 ffmpeg 命令,但元数据未列出任何必需二进制。若要本地合成/剪辑,请确保系统已安装并信任的 ffmpeg 可用。 - 确认“videos_understand”和“ACE Music”的行为:文档引用 videos_understand(视频分析)和 ACE Music(音乐生成)。在安装/运行前询问技能来源或平台:这些是平台内置、安全的服务,还是会将你的视频/文本上传到第三方服务器?如果会上传,明确上传目的地、保留期限和隐私/版权政策。 - 隐私与版权风险:该技能需要你提供参考视频和可能生成含有人物形象或音乐的内容。若参考视频含有个人信息、未授权肖像或第三方受版权保护素材,可能造成法律/隐私问题。谨慎提供敏感视频或受版权限制的素材。 - ACE Music 声称“免费/无积分限制”,但实际使用时可能仍需账号或受限条款。向技能提供者或平台确认是否需要额外凭据或是否有使用条款/商用限制。 - 可接受性与一致性:技能大量提供提示词与生成模板,易于批量生成相似角色与风格。若你关心尽量避免生成侵犯他人著作权或模仿真实人物的作品,请在使用前明确生成内容的合规边界。 总体建议:如果你准备在本地运行并且理解需手动提供视频文件与本地 ffmpeg,风险较低,但在允许该技能将媒体上传到任何外部服务或在不明确隐私/版权政策的情况下使用前,请向技能来源或平台索要明确说明。
Review Dimensions
- Purpose & Capability
- note技能名与描述与大部分说明内容一致:剧本、歌词、生成多镜头并统一画风、合并视频、配乐等都是短视频创作相关。但 SKILL.md 在工作流中使用 FFmpeg 与 ACE Music、并要求使用 videos_understand 分析视频——这些运行时能力并未在注册元数据中以“必需二进制”或“必需环境变量”形式声明,存在说明/声明不一致。
- Instruction Scope
- note运行说明明确要求用户提供首个参考视频并指示使用 videos_understand 分析、调用音乐生成(ACE Music)并在本地用 ffmpeg 合并音视频。说明没有指明 videos_understand/ACE Music 是否为平台内置工具或会将媒体上报到外部服务;因此存在潜在的数据外发/隐私风险(用户视频可能包含个人信息或受版权保护的内容)。说明本身未要求读取其它系统路径或凭据。
- Install Mechanism
- note无安装规范、无代码文件(instruction-only),这是低风险做法。但与此矛盾的是文档使用 ffmpeg 命令,表明运行时依赖本地 ffmpeg;该依赖未在元数据中列为必需二进制,导致使用者可能遇到环境不满足或误以为无需额外工具的情况。
- Credentials
- ok技能未请求任何环境变量、凭据或配置路径,这与它的说明(主要基于提示词、模板、和可能的本地 ffmpeg 调用)大致一致。唯有 ACE Music/第三方服务可能需要凭据或网络访问,但这些未被声明——这是设计文档缺失而非多余的权限请求。
- Persistence & Privilege
- ok技能没有设置 always:true,也没有安装脚本或写磁盘的安装步骤;作为 instruction-only 的技能,它不会在系统中持久化或修改其它技能配置。默认的自动调用权限(disable-model-invocation:false)是平台常态,不构成单独问题。