Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能名/描述是图片生成(单图/风格复刻/套图),所需的唯一环境变量是 PONY_SUPABASE_ANON_KEY,SKILL.md 的所有示例请求都调用同一 BASE_URL 的 Supabase 函数端点,所请求的权限与功能一致。
Instruction Scope
运行时说明只要求将 prompt 和参考/产品图(URL 或 Base64)POST 到技能内定的 Supabase 函数端点并返回 Base64 图像;没有指示读取本地敏感配置或其它环境变量。但说明隐含会把用户上传的图片/描述传到第三方后端(固定的 BASE_URL),这会导致数据外发——功能内可预见但值得用户注意。
Install Mechanism
无安装脚本、无代码文件,纯说明文档——不会在本地写入或执行下载代码,安装面向风险最低的“instruction-only”类型。
Credentials
仅请求一个环境变量 PONY_SUPABASE_ANON_KEY,并将其用作 Authorization header。就功能而言这是合理的(用于调用 Supabase edge functions)。注意:Supabase anon key 通常权限受限但若项目配置不当可能泄露更多能力;此密钥与技能固定的 BASE_URL 绑定,泄露会让能调用该项目函数的主体伪装请求。
Persistence & Privilege
技能不是 always:true,且无安装步骤或修改其他技能/系统配置的指示;默认的自主调用能力未和其它高权限设置结合出现,因此不存在额外持久特权。
Assessment
这个技能本身在目的和要求上内部一致:它会把你写的 prompt 和你上传的参考/产品图片(URL 或 Base64)POST 到一个固定的 Supabase 函数端点,并返回 Base64 格式的生成图片。你在决定是否安装/使用前应考虑:
- 该 BASE_URL(vecarpahagopuqbwxbjh.supabase.co)不是公共知名厂商域名,而是某个 Supabase 项目,意味着你将把数据发送到第三方后端;只在你信任该后端或已核实所有者时使用。
- 提供的 PONY_SUPABASE_ANON_KEY 为调用凭证:anon key 权限通常受限,但若该 Supabase 项目错误配置,key 仍可能用于读取/写入数据;避免将高敏感或受版权保护的图片/机密信息上传。
- 如果你管理自己的数据隐私,最好自行部署同类服务(创建自己的 Supabase 项目并替换 BASE_URL 和 anon key),或要求提供方出示来源/隐私声明和代码/托管仓库以便审查。
- 若担心滥用,可在使用时监控网络请求、为该 key 设置短期/可撤销凭证,并在不使用时撤销或更换它。
总体:功能上一致且实现方式透明,但风险来自后端信任和数据外发——在信任后端前不要上传敏感内容。Like a lobster shell, security has layers — review code before you run it.
latestvk97appt04jna1cx41z9nct89qd81qgtk
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
EnvPONY_SUPABASE_ANON_KEY
Primary envPONY_SUPABASE_ANON_KEY