ClawHub

Imagen

Security checks across malware telemetry and agentic risk

Overview

The skill does what it claims, but it should be reviewed because it can automatically read local OpenClaw auth-profile files to find an OpenRouter API key and send image prompts to OpenRouter.

Install only if you are comfortable with prompts being sent to OpenRouter, generated images staying in the workspace, and the skill reading OpenClaw auth-profile files if OPENROUTER_API_KEY is not set. For tighter control, set OPENROUTER_API_KEY explicitly and avoid putting secrets, private documents, or sensitive business data in image prompts.

SkillSpector

By NVIDIA
Vulnerability Patterns
  • Trigger AbuseOverly Broad Trigger, Shadow Command Trigger, Keyword Baiting Trigger
  • Prompt InjectionInstruction Override, Hidden Instructions, Exfiltration Commands
  • Data ExfiltrationExternal Transmission, Env Variable Harvesting, File System Enumeration
  • Privilege EscalationExcessive Permissions, Sudo/Root Execution, Credential Access
  • Supply ChainUnpinned Dependencies, External Script Fetching, Obfuscated Code
Findings (3)

Vague Triggers

Medium
Confidence
88% confidence
Finding
La activación por lenguaje natural es demasiado amplia: cualquier petición genérica de 'generar una imagen' puede disparar una ejecución real con red y escritura en disco. En un entorno agéntico esto incrementa el riesgo de activación no intencional, gasto de API, envío accidental de contenido sensible en prompts y ejecución de una acción con efectos externos cuando el usuario quizá solo buscaba información o ayuda conceptual.

Missing User Warnings

Medium
Confidence
93% confidence
Finding
La descripción y metadatos no informan de forma explícita que el prompt del usuario y parte de la configuración local se enviarán a un tercero (OpenRouter) usando una API key. Esa falta de transparencia puede llevar a que usuarios compartan datos sensibles creyendo que el procesamiento es local, lo que vuelve más peligrosa la skill dado que el propio texto promueve ejecución directa y automática.

Missing User Warnings

Medium
Confidence
95% confidence
Finding
El script envía el prompt del usuario a un servicio externo (OpenRouter) para generar la imagen, lo que implica transferencia de datos fuera del entorno local. Si el usuario introduce información sensible en el prompt o desconoce que el contenido será procesado por un tercero, puede producirse una divulgación no intencionada de datos.

VirusTotal

64/64 vendors flagged this skill as clean.

View on VirusTotal