Habilidades nano-banana-blockrun
📦

nano-banana-blockrun

Riesgo alto ⚡ Contiene scripts🌐 Acceso a red⚙️ Comandos externos📁 Acceso al sistema de archivos🔑 Variables de entorno

Generar imágenes de IA de pago con BlockRun

Los asistentes de IA a menudo necesitan una forma directa de crear imágenes durante una sesión de programación o diseño. Esta skill conecta Claude, Codex y Claude Code con la generación de imágenes de BlockRun mediante micropagos x402 en USDC.

Compatible con: Claude Codex Code(CC)
⚠️ 38 Deficiente
1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "nano-banana-blockrun". Genera una imagen de un gato usando un casco espacial.

Resultado esperado:

El asistente crea una solicitud de imagen de pago y luego informa la ruta del archivo PNG guardado o la URL de imagen devuelta.

Usando "nano-banana-blockrun". Usa nano-banana-pro para crear una escena urbana de alta resolución.

Resultado esperado:

El asistente selecciona el modelo solicitado, envía el prompt mediante BlockRun y guarda la imagen generada cuando se devuelven datos PNG.

Usando "nano-banana-blockrun". Crea una imagen para una landing page de pagos blockchain.

Resultado esperado:

El asistente convierte el objetivo de diseño en un prompt de imagen y genera un recurso visual mediante el flujo de pago de billetera configurado.

Auditoría de seguridad

Riesgo alto
v6 • 6/28/2026

Static critical heuristics are not confirmed as malicious, and no prompt injection attempt was found. However, the skill requires a wallet private key, loads .env files, signs paid x402 requests, and uses network calls through a third-party SDK. This is high risk for a community marketplace skill and should not be published without stronger review and user warnings.

4
Archivos escaneados
471
Líneas analizadas
14
hallazgos
6
Auditorías totales

Problemas de riesgo alto (2)

Wallet Private Key Required for Payment Signing
The skill instructs users to place a private wallet key in .env or BLOCKRUN_WALLET_KEY, then passes that key into the BlockRun ImageClient. This is a true positive for credential access because compromise or misuse of this value can authorize crypto payments.
Network Payment Flow Uses Third-Party SDK and Signatures
The skill sends generation requests to BlockRun and documents that a payment signature is sent to the server. This is a true positive for network plus credential-adjacent behavior because the workflow spends USDC through signed x402 requests.
Problemas de riesgo medio (3)
Multiple .env Files Are Loaded from Variable Locations
The script loads .env from the requested output directory, current working directory, and skill directory before reading BLOCKRUN_WALLET_KEY. This can unintentionally select a wallet key from a directory chosen by the caller.
Generated Files Are Written to Caller-Controlled Paths
The script writes decoded PNG bytes into output_dir using predictable filenames. This is legitimate image generation behavior, but it can overwrite existing generated_image files in the selected directory.
Broad Python and Pip Execution Permissions
The skill metadata allows Bash execution for python, python3, pip, and pip3. This is expected for a script-based skill, but it increases risk because the skill can install packages and execute local Python code.
Problemas de riesgo bajo (4)
Markdown Code Fences Misclassified as Ruby Backticks
The external command findings in README.md and SKILL.md largely point to Markdown fenced examples for installation and usage. They are documentation examples, not Ruby backtick execution in code.
Apache License Text Misclassified as Weak Cryptography
The weak cryptography findings in LICENSE and SKILL.md do not identify cryptographic implementation code. The LICENSE lines are standard Apache License text, and SKILL.md only names the Nano Banana product.
Documented URLs Are Expected Network References
Hardcoded URL findings point to documentation links for Base, BlockRun, PyPI, x402, and the Apache License. These references are expected for setup and attribution.
Base64 Decode Used for Image Output
The base64 decode finding is used to save data:image PNG results returned by the image generation API. This appears to be normal handling of image data, not obfuscation.

Patrones detectados

Credential Access Combined with Paid Network RequestsEnvironment Loading from User-Influenced Directory

Puntuación de calidad

59
Arquitectura
100
Mantenibilidad
87
Contenido
71
Comunidad
0
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

Crear arte conceptual

Genera conceptos visuales rápidos a partir de prompts mientras exploras una idea de producto, juego o campaña.

Producir recursos para mockups de aplicaciones

Crea imágenes de marcador de posición para prototipos sin salir de una sesión de programación con IA.

Probar flujos de imágenes de pago

Valida la generación de imágenes basada en pagos x402 usando un saldo pequeño en la billetera y prompts explícitos.

Prueba estos prompts

Generar una imagen sencilla
Genera una imagen de un espacio de trabajo limpio con una laptop, un cuaderno y luz natural cálida.
Elegir un modelo específico
Genera una imagen de una ciudad futurista usando google/nano-banana-pro y guárdala en la carpeta de recursos de mi proyecto.
Crear visuales de producto
Crea tres opciones de prompt de imagen para una imagen hero de un dashboard fintech moderno y luego genera la opción más sólida.
Ejecutar una prueba de pago controlada
Antes de generar, confirma el modelo seleccionado, el directorio de salida y el coste esperado. Luego crea una imagen 1024x1024 de una terminal de pago de la red Base.

Mejores prácticas

  • Usa una billetera dedicada con solo el pequeño saldo en USDC necesario para la generación de imágenes.
  • Revisa el nombre del modelo, el prompt y el coste esperado antes de cada solicitud de pago.
  • Establece un directorio de salida explícito que no contenga archivos .env no relacionados.

Evitar

  • No uses una billetera que tenga fondos de producción o activos no relacionados.
  • No almacenes claves privadas en carpetas de proyecto compartidas ni en archivos confirmados en el repositorio.
  • No ejecutes generaciones de pago desde prompts no confiables sin revisar la solicitud.

Preguntas frecuentes

¿Esta skill requiere una clave API?
No. Usa una clave privada de billetera para la firma local de pagos x402 en lugar de una clave API de servicio.
¿Por qué el riesgo de auditoría es alto?
La skill maneja una clave privada de billetera, firma solicitudes de pago, realiza llamadas de red y escribe archivos.
¿La clave privada sale de la máquina?
La documentación dice que la clave firma localmente y que solo se envía una firma. Aun así, el marketplace debería tratar el manejo de claves privadas como de alto riesgo.
¿Qué modelos de imagen están documentados?
La skill documenta google/nano-banana, google/nano-banana-pro y openai/dall-e-3.
¿Dónde se guardan las imágenes generadas?
Los resultados PNG inline se guardan en el directorio de salida seleccionado usando nombres de archivo generated_image.
¿Puede usarse esta skill sin fondos cripto?
No. El flujo de trabajo documentado requiere USDC en la red Base para la generación de pago por solicitud.

Detalles del desarrollador

Licencia

Apache-2.0

Ref.

main

Estructura de archivos