image-gen

该技能的主要功能与其声明基本一致，未见明显恶意窃密或无关越权行为，因此更像高风险但非恶意的集成型技能。核心问题在于：依赖一个非标准注册表分发、发布校验不足的本地 CLI/脚本链，并将 API Key 交给本地代码处理且可持久化到 WPS 笔记；再叠加可选第三方代理，形成明显的供应链与凭据暴露风险。综合判断为 SUSPICIOUS 而非 MALICIOUS。