sofunny-image

该 skill 的功能、所需文件访问和网络行为与“通过 New-API 代理生成/编辑图片”的声明基本一致，未见明显隐藏执行、越权读敏感系统文件或恶意安装链，因此不属确认恶意。主要风险在于它刻意将 prompt、参考图和 API key 发送给 New-API 代理而非官方 Gemini 端点；这属于与用途一致但需要额外信任第三方/本地代理的数据转发。整体判断为 SUSPICIOUS 而非 MALICIOUS：目的一致，但代理型数据流与本地凭据读取带来中等安全风险。