llc-phone Security Report — Trusted | ClawSafe

0 /100

llc-phone

Low-latency inbound and outbound AI phone calls via the OpenAI Realtime API and Twilio

合法的 AI 电话代理技能，代码功能与文档描述高度一致，所有外部通信均为必要的第三方服务集成（OpenAI/Twilio/ClickSend/CalDAV），凭证仅用于认证不外传，无恶意行为。

Skill Namellc-phone

Duration42.6s

Enginepi

✓

Safe to install

可安全使用。已审查全部源码，无高危发现。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	src/server.ts:118-136（Twilio API 调用）、src/functionHandlers.ts（ClickSend/CalDAV AP…
Filesystem	`NONE`	`READ`	✓ Aligned	src/server.ts:43 读取 twiml.xml 模板；无写操作，无敏感路径访问
Environment	`NONE`	`READ`	✓ Aligned	所有 .ts 文件均通过 process.env 读取凭证，但仅用于向合法第三方服务认证，不外传
Shell	`NONE`	`NONE`	—	无 subprocess/exec 调用

5 findings

🔗

Medium External URL 外部 URL

https://platform.openai.com/docs/changelog

docs/08-known-issues.md:130

🔗

Medium External URL 外部 URL

https://community.openai.com

docs/08-known-issues.md:131

🔗

Medium External URL 外部 URL

https://your-caldav-server.example.com

src/functionHandlers.ts:7

🔗

Medium External URL 外部 URL

https://rest.clicksend.com/v3/sms/send

src/functionHandlers.ts:397

🔗

Medium External URL 外部 URL

https://api.twilio.com/2010-04-01/Accounts/$

src/functionHandlers.ts:424

File Tree

19 files · 124.4 KB · 3676 lines

TypeScript 5f · 1968L Markdown 11f · 1643L JSON 2f · 57L XML 1f · 8L

├─ ▾ 📁 docs

│ ├─ 📝 01-overview.md Markdown 44L · 1.9 KB

│ ├─ 📝 02-session-config.md Markdown 177L · 5.0 KB

│ ├─ 📝 03-prewarm-outbound.md Markdown 237L · 7.4 KB

│ ├─ 📝 04-inbound-modes.md Markdown 274L · 9.1 KB

│ ├─ 📝 05-async-tools.md Markdown 146L · 5.1 KB

│ ├─ 📝 06-latency-tuning.md Markdown 103L · 3.5 KB

│ ├─ 📝 07-twilio-integration.md Markdown 114L · 3.5 KB

│ ├─ 📝 08-known-issues.md Markdown 132L · 3.8 KB

│ └─ 📝 09-openclaw-config.md Markdown 140L · 4.3 KB

├─ ▾ 📁 src

│ ├─ 📜 functionHandlers.ts TypeScript 564L · 19.3 KB

│ ├─ 📜 server.ts TypeScript 397L · 14.6 KB

│ ├─ 📜 sessionManager.ts TypeScript 929L · 32.8 KB

│ ├─ 📄 twiml.xml XML 8L · 187 B

│ ├─ 📜 types.ts TypeScript 31L · 614 B

│ └─ 📜 webhook.ts TypeScript 47L · 1.3 KB

├─ 📋 package.json JSON 39L · 974 B

├─ 📝 README.md Markdown 176L · 5.6 KB

├─ 📝 SKILL.md Markdown 100L · 4.9 KB

└─ 📋 tsconfig.json JSON 18L · 419 B

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`express`	`^4.21.2`	npm	No	版本锁定
`ws`	`^8.18.0`	npm	No	WebSocket 客户端，版本锁定
`cors`	`^2.8.5`	npm	No	版本锁定
`dotenv`	`^16.4.5`	npm	No	版本锁定
`typescript`	`^5.5.4`	npm	No	构建工具

Security Positives

✓ 所有网络请求均指向已知官方 API 端点（OpenAI wss://api.openai.com、Twilio https://api.twilio.com、ClickSend https://rest.clicksend.com）

✓ 凭证（OPENAI_API_KEY、TWILIO_AUTH_TOKEN 等）仅用于对第三方服务的本地认证，无外传行为

✓ webhook 发送需要显式配置 TRANSCRIPT_WEBHOOK_URL，未配置时跳过，无静默外传

✓ 无 subprocess/exec 调用，无远程脚本执行

✓ 无 base64 管道、eval、裸 IP 请求等高危模式

✓ 无对 ~/.ssh、~/.aws、.env 等敏感路径的访问

✓ 依赖包均为知名且版本锁定的 npm 库（express、ws、cors、dotenv）

✓ 文档（SKILL.md）与实际代码能力高度一致，无阴影功能

Scan Report

File Tree

Dependencies 5 items

Security Positives