Back to skill
Skillv1.0.3
ClawScan security
腾讯混元生图能力 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 6, 2026, 3:26 PM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 此技能的声明、运行说明、依赖与代码在功能上相互一致——它使用腾讯云凭据调用混元生图API生成图片,未看到与技能目的不符的请求或隐藏外部端点。
- Guidance
- 该技能看起来如其所述:用你的腾讯云密钥调用混元生图并将生成的图片保存到本地。注意事项: - 只在你信任的环境中提供腾讯云密钥;使用具有最小权限的子账号/临时密钥而非主账号密钥。 - pip install 会从 PyPI 安装依赖,安装第三方包存在供应链风险;如有顾虑,在隔离环境(虚拟环境或容器)中运行。 - 运行脚本会把你的 prompt 和生成的任务提交到腾讯云(在腾讯云处理并返回图片 URL),请评估隐私/合规影响。 - 如果需要更高信心,可审阅 scripts/generate.py 源码(已包含)并验证 tencentcloud-sdk-python 包来源或使用锁定版本。
Review Dimensions
- Purpose & Capability
- ok名称/描述均为“根据文本生成图片”。所需二进制(python)、Python 包(tencentcloud-sdk-python)、以及环境变量(TENCENT_SECRET_ID/TENCENT_SECRET_KEY)直接对应调用腾讯云 Hunyuan 生图 API 的需要,合理且成比例。
- Instruction Scope
- okSKILL.md 指示仅安装 SDK、设置凭据并运行 scripts/generate.py。运行时只读取声明的环境变量、向腾讯云 API 发起请求并下载 API 返回的图片 URL;没有指示读取其它系统凭证或任意主机路径,也未指示向不明第三方上报数据。
- Install Mechanism
- ok无安装脚本,说明文件和 package.yaml 建议通过 pip install tencentcloud-sdk-python。通过 PyPI 安装官方 SDK 是正常且可预期的方式(注意:pip 包安装存在第三方包风险,但这与技能目的相称)。
- Credentials
- ok仅要求 TENCENT_SECRET_ID 和 TENCENT_SECRET_KEY 作为主凭据,数量和命名都与调用腾讯云 API 的需要一致。无其它不相关密钥或配置路径要求。
- Persistence & Privilege
- ok技能未请求常驻(always:false),也不修改其它技能或全局代理设置。它以正常、有限权限(使用用户提供的腾讯云密钥)运行。