スキル nano-banana-blockrun
📦

nano-banana-blockrun

高リスク ⚡ スクリプトを含む🌐 ネットワークアクセス⚙️ 外部コマンド📁 ファイルシステムへのアクセス🔑 環境変数

BlockRunで有料AI画像を生成

AIアシスタントは、コーディングやデザインのセッション中に画像を直接作成する手段を必要とすることがよくあります。このスキルは、x402 USDCマイクロペイメントを使用して、Claude、Codex、Claude CodeをBlockRunの画像生成に接続します。

対応: Claude Codex Code(CC)
⚠️ 38 不十分
1

スキルの ZIP をダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロード に移動

3

オンにして使い始める

エージェントが読めるリソース

AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。

テストする

「nano-banana-blockrun」を使用しています。 Generate an image of a cat wearing a space helmet.

期待される結果:

アシスタントは有料画像リクエストを作成し、その後、保存されたPNGファイルパスまたは返された画像URLを報告します。

「nano-banana-blockrun」を使用しています。 Use nano-banana-pro to create a high-resolution city scene.

期待される結果:

アシスタントは指定されたモデルを選択し、BlockRun経由でプロンプトを送信し、PNGデータが返された場合は生成画像を保存します。

「nano-banana-blockrun」を使用しています。 Make an image for a blockchain payment landing page.

期待される結果:

アシスタントはデザイン目標を画像プロンプトに変換し、設定済みのウォレット支払いフローを通じてビジュアル素材を生成します。

セキュリティ監査

高リスク
v6 • 6/28/2026

Static critical heuristics are not confirmed as malicious, and no prompt injection attempt was found. However, the skill requires a wallet private key, loads .env files, signs paid x402 requests, and uses network calls through a third-party SDK. This is high risk for a community marketplace skill and should not be published without stronger review and user warnings.

4
スキャンされたファイル
471
解析済み行数
14
検出結果
6
総監査数

高リスクの問題 (2)

Wallet Private Key Required for Payment Signing
The skill instructs users to place a private wallet key in .env or BLOCKRUN_WALLET_KEY, then passes that key into the BlockRun ImageClient. This is a true positive for credential access because compromise or misuse of this value can authorize crypto payments.
Network Payment Flow Uses Third-Party SDK and Signatures
The skill sends generation requests to BlockRun and documents that a payment signature is sent to the server. This is a true positive for network plus credential-adjacent behavior because the workflow spends USDC through signed x402 requests.
中リスクの問題 (3)
Multiple .env Files Are Loaded from Variable Locations
The script loads .env from the requested output directory, current working directory, and skill directory before reading BLOCKRUN_WALLET_KEY. This can unintentionally select a wallet key from a directory chosen by the caller.
Generated Files Are Written to Caller-Controlled Paths
The script writes decoded PNG bytes into output_dir using predictable filenames. This is legitimate image generation behavior, but it can overwrite existing generated_image files in the selected directory.
Broad Python and Pip Execution Permissions
The skill metadata allows Bash execution for python, python3, pip, and pip3. This is expected for a script-based skill, but it increases risk because the skill can install packages and execute local Python code.
低リスクの問題 (4)
Markdown Code Fences Misclassified as Ruby Backticks
The external command findings in README.md and SKILL.md largely point to Markdown fenced examples for installation and usage. They are documentation examples, not Ruby backtick execution in code.
Apache License Text Misclassified as Weak Cryptography
The weak cryptography findings in LICENSE and SKILL.md do not identify cryptographic implementation code. The LICENSE lines are standard Apache License text, and SKILL.md only names the Nano Banana product.
Documented URLs Are Expected Network References
Hardcoded URL findings point to documentation links for Base, BlockRun, PyPI, x402, and the Apache License. These references are expected for setup and attribution.
Base64 Decode Used for Image Output
The base64 decode finding is used to save data:image PNG results returned by the image generation API. This appears to be normal handling of image data, not obfuscation.

検出されたパターン

Credential Access Combined with Paid Network RequestsEnvironment Loading from User-Influenced Directory
監査者: codex 監査履歴を表示 →

品質スコア

59
アーキテクチャ
100
保守性
87
コンテンツ
71
コミュニティ
0
セキュリティ
83
仕様準拠

作成できるもの

コンセプトアートを作成

プロダクト、ゲーム、キャンペーンのアイデアを検討しながら、プロンプトから素早くビジュアルコンセプトを生成します。

アプリのモックアップ素材を作成

AIコーディングセッションから離れることなく、プロトタイプ用のプレースホルダー画像を作成します。

有料画像ワークフローをテスト

少額のウォレット残高と明示的なプロンプトを使って、x402支払いベースの画像生成を検証します。

これらのプロンプトを試す

シンプルな画像を生成
Generate an image of a clean workspace with a laptop, notebook, and warm natural light.
特定のモデルを選択
Generate an image of a futuristic city using google/nano-banana-pro and save it to my project assets folder.
プロダクトビジュアルを作成
Create three image prompt options for a modern fintech dashboard hero image, then generate the strongest option.
制御された有料テストを実行
Before generating, confirm the selected model, output directory, and expected cost. Then create a 1024x1024 image of a Base network payment terminal.

ベストプラクティス

  • 画像生成に必要な少額のUSDC残高だけを入れた専用ウォレットを使用します。
  • 有料リクエストごとに、モデル名、プロンプト、想定コストを確認します。
  • 無関係な.envファイルを含まない明示的な出力ディレクトリを設定します。

回避

  • 本番資金や無関係な資産を保有するウォレットを使用しないでください。
  • 秘密鍵を共有プロジェクトフォルダやコミット済みファイルに保存しないでください。
  • リクエストを確認せずに、信頼できないプロンプトから有料生成を実行しないでください。

よくある質問

このスキルにはAPIキーが必要ですか?
いいえ。サービスAPIキーの代わりに、ローカルのx402支払い署名用ウォレット秘密鍵を使用します。
監査リスクが高いのはなぜですか?
このスキルはウォレット秘密鍵を扱い、有料リクエストに署名し、ネットワーク呼び出しを実行し、ファイルを書き込みます。
秘密鍵はマシン外に送信されますか?
ドキュメントでは、キーはローカルで署名し、署名のみが送信されると説明されています。それでもマーケットプレイスでは、秘密鍵の取り扱いを高リスクとして扱うべきです。
どの画像モデルが文書化されていますか?
このスキルではgoogle/nano-banana、google/nano-banana-pro、openai/dall-e-3が文書化されています。
生成画像はどこに保存されますか?
インラインPNG結果は、generated_imageファイル名を使用して、選択された出力ディレクトリに保存されます。
このスキルは暗号資産なしで使用できますか?
いいえ。文書化されたワークフローでは、リクエストごとの有料生成にBaseネットワーク上のUSDCが必要です。

開発者情報

作成者

BlockRunAI

ライセンス

Apache-2.0

参照

main

ファイル構成