スキル runcomfy-cli

📦

runcomfy-cli

Name: runcomfy-cli
Author: runcomfy-com

低リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス

RunComfy CLI で任意の AI モデルをコマンドラインから実行

こちらからも入手できます: doany-ai,agentspace-so

開発者やクリエイターは、数百もの AI 画像・動画モデルに対応する単一のスクリプト可能なインターフェースを必要としています。RunComfy CLI は、画像生成から動画編集、LoRA トレーニングに至るまで、すべての RunComfy モデルエンドポイントにアクセスするための単一のバイナリと単一の認証を提供します。

対応: Claude Codex Code(CC)

📊 69 十分

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

テストする

「runcomfy-cli」を使用しています。自分のマシンに runcomfy CLI をインストールする

期待される結果:

npm 経由で runcomfy CLI をグローバルにインストールします。CLI がインストールされ、使用可能な状態になりました。「runcomfy login」を実行して RunComfy アカウントで認証してください。

「runcomfy-cli」を使用しています。夕日の紫の猫の画像を生成する

期待される結果:

runcomfy CLI を使用してその画像を生成します。リクエストが送信され、処理中です。画像が生成され、カレントディレクトリの ./result.png に保存されました。

「runcomfy-cli」を使用しています。 runcomfy の認証状態を確認する

期待される結果:

認証状態を確認します。CLI トークンを使用して you@example.com としてサインインしています。アカウントはモデルリクエストを送信できる状態です。

セキュリティ監査

低リスク

v1 • 5/30/2026

Static analyzer detected 174 patterns across 1 file (272 lines) with an automated risk score of 100/100, suggesting NEEDS_AI review. After human evaluation, ALL 174 findings are confirmed FALSE POSITIVES. The flagged patterns are markdown code formatting backticks misidentified as shell execution, legitimate API and documentation URLs misidentified as suspicious network targets, documented token storage paths misidentified as hidden file access, and CLI subcommand names misidentified as system reconnaissance. The skill uses external_commands, network, and filesystem by design as a CLI wrapper for an AI model service. The SKILL.md includes a comprehensive Security and Privacy section with explicit warnings about installation safety, token protection, shell injection boundaries, indirect prompt injection, outbound endpoint allowlisting, and file size caps. Risk level set to LOW because the skill legitimately invokes external commands and makes network requests in its intended operation.

スキャンされたファイル

272

解析された行数

検出結果

総監査数

低リスクの問題 (5)

SKILL.md:6-271

Static analyzer false positives: markdown backticks flagged as command execution

The static analyzer flagged 123 instances of markdown code formatting backticks as 'Ruby/shell backtick execution'. The SKILL.md file is a documentation/skill-instruction file written entirely in markdown. Every backtick is either inline code formatting or a code fence delimiter. No actual shell command execution via backticks occurs in this file. The skill declares allowed-tools: Bash(runcomfy *) which restricts the agent to only running the runcomfy CLI binary.

SKILL.md:20 SKILL.md:28 SKILL.md:114 SKILL.md:137-143

Static analyzer false positives: legitimate URLs flagged as suspicious network targets

The static analyzer flagged 40 instances of hardcoded URLs as suspicious. All URLs are legitimate references to runcomfy.com (official site and documentation), runcomfy.net (API endpoints for model serving), and skills.sh (skill marketplace). These URLs are the documented service endpoints the CLI tool interacts with. No data exfiltration or unexpected network targets are present.

SKILL.md:65 SKILL.md:114 SKILL.md:251

Static analyzer false positives: documented paths flagged as filesystem risks

The static analyzer flagged references to ~/.config/runcomfy/token.json as 'hidden file access' and '.../result.png' in an example output URL as 'path traversal'. These are documentation explaining where the CLI stores auth tokens (with mode 0600 permissions) and an ellipsis in an example URL. No actual path traversal or unauthorized file access exists.

SKILL.md:15 SKILL.md:77 SKILL.md:162-164

Static analyzer false positives: CLI subcommand names flagged as system reconnaissance

The static analyzer flagged references to 'runcomfy whoami' as system reconnaissance. The whoami subcommand is a standard CLI identity check that displays the authenticated user's email and token type. This is legitimate CLI functionality, not system enumeration.

SKILL.md:5 SKILL.md:224

Static analyzer false positives: YAML block scalar and exit codes flagged as weak cryptography

The static analyzer flagged the YAML frontmatter block scalar indicator '>' on line 5 and the exit codes table on line 224 as 'weak cryptographic algorithm'. These are entirely unrelated to cryptography. Line 5 is a YAML folded block scalar syntax character and line 224 is a markdown table heading for CLI exit codes.

リスク要因

⚙️ 外部コマンド (17)

SKILL.md:6 SKILL.md:26 SKILL.md:32-46 SKILL.md:48-56 SKILL.md:62-72 SKILL.md:76-81 SKILL.md:89-100 SKILL.md:104-121 SKILL.md:127-143 SKILL.md:147-170 SKILL.md:175-177 SKILL.md:183-188 SKILL.md:192-198 SKILL.md:202-209 SKILL.md:215-222 SKILL.md:240-253 SKILL.md:256-271

🌐 ネットワークアクセス (12)

SKILL.md:20 SKILL.md:28 SKILL.md:48 SKILL.md:56 SKILL.md:83 SKILL.md:114 SKILL.md:123 SKILL.md:130 SKILL.md:137-143 SKILL.md:177 SKILL.md:236 SKILL.md:265-271

📁 ファイルシステムへのアクセス (3)

SKILL.md:65 SKILL.md:114 SKILL.md:251

検出されたパターン

External command execution via CLI binaryNetwork requests to RunComfy API endpointsFilesystem access for token storage and output downloads

監査者: claude

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

オンデマンドで AI 画像・動画を生成

クリエイティブプロフェッショナルは、ブラウザや専用アプリケーションを開くことなく、ターミナルから直接 AI モデルを使用して画像や動画の生成、編集、変換を行えます。

バッチメディア生成パイプラインの自動化

DevOps エンジニアは、シェルループ、JSON パース、終了コード処理を通じて数百のプロンプトをバッチ処理し、信頼性の高い本番ワークフローを構築できます。

開発ワークフローへの AI モデルの統合

AI 開発者は、JSON 出力モード、待機なし送信、ステータスポーリングを使用して、非同期ジョブオーケストレーションのためのモデル呼び出しを大規模アプリケーションに組み込めます。

これらのプロンプトを試す

CLI のインストールとセットアップ

npm を使用して runcomfy CLI をグローバルにインストールし、バージョンを確認してインストールを検証してください。

テキストプロンプトから画像を生成

runcomfy を使用して、GPT Image 2 モデルでプロンプト「a serene mountain lake at sunrise, photorealistic」から画像を生成してください。

プロンプトファイルから画像をバッチ生成

prompts.txt からプロンプトを読み込み、runcomfy を使用してプロンプトごとに 1 枚の画像を生成し、各出力を ./output/ 配下のタイムスタンプ付きディレクトリに保存してください。

長時間実行ジョブの送信と後でのポーリング

runcomfy の待機なしモードを使用して動画生成ジョブを送信し、リクエスト ID を取得した後、定期的にステータスをポーリングし、完了時に結果をダウンロードしてください。

ベストプラクティス

混乱を招くエラーメッセージを避けるため、モデルコマンドを実行する前に必ず CLI がインストールされ認証されていることを確認する
スクリプトや jq への結果のパイピングを行う場合は、--output json モードを使用して応答データの信頼性の高いプログラムによる解析を実現する
動画生成やその他の長時間実行ジョブでは、無期限の待機を防ぐために明示的な --timeout 値を設定する

回避

公式ドキュメントに記載されていても、ユーザーが事前に確認することなくリモートインストールスクリプトをシェルにパイプして実行しない
API トークンをプロンプト、コマンド出力、またはバージョン管理にコミットされる可能性のあるファイルに記録または表示しない
画像参照や Web 検索による生成タスクにおいて、ユーザーが明示的に提供していない URL を自動的に解決または使用しない

よくある質問

runcomfy CLI とは何ですか？

画像生成、動画生成、編集など、RunComfy プラットフォーム上の数百の AI モデルに単一のバイナリでアクセスできるコマンドラインツールです。

CLI で認証するにはどうすればよいですか？

対話的なブラウザベースの認証には「runcomfy login」を実行するか、CI やコンテナ環境では RUNCOMFY_TOKEN 環境変数を設定してください。

この CLI ではどのような AI モデルが利用できますか？

runcomfy.com/models のカタログを参照すると、FLUX、GPT Image、Nano Banana、Seedance、Kling、Veo など、利用可能なすべてのモデルを確認できます。

モデルを実行して出力を取得するにはどうすればよいですか？

「runcomfy run <model_id> --input '<JSON body>'」を実行してリクエストを送信します。CLI が送信、2 秒ごとのポーリング、およびカレントディレクトリへの結果のダウンロードを処理します。

この CLI をシェルスクリプトや CI パイプラインで使用できますか？

はい。機械可読な出力には --output json、非同期送信には --no-wait、エラーやリトライの処理にはドキュメント化された終了コードを使用できます。

API トークンは安全に保存されますか？

はい。トークンは ~/.config/runcomfy/token.json に制限付きパーミッション（モード 0600、所有者のみ読み書き可能）で保存されます。代わりに RUNCOMFY_TOKEN 環境変数を使用することもできます。

開発者の詳細

作成者

runcomfy-com

ライセンス

MIT

リポジトリ

https://github.com/runcomfy-com/skills/tree/main/runcomfy-cli/

参照

main

ファイル構成

📄 SKILL.md