中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:2 天前 重新扫描
0 /100
llc-phone
Low-latency inbound and outbound AI phone calls via the OpenAI Realtime API and Twilio
合法的 AI 电话代理技能,代码功能与文档描述高度一致,所有外部通信均为必要的第三方服务集成(OpenAI/Twilio/ClickSend/CalDAV),凭证仅用于认证不外传,无恶意行为。
技能名称llc-phone
分析耗时42.6s
引擎pi
可以安装
可安全使用。已审查全部源码,无高危发现。
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 src/server.ts:118-136(Twilio API 调用)、src/functionHandlers.ts(ClickSend/CalDAV AP…
文件系统 NONE READ ✓ 一致 src/server.ts:43 读取 twiml.xml 模板;无写操作,无敏感路径访问
环境变量 NONE READ ✓ 一致 所有 .ts 文件均通过 process.env 读取凭证,但仅用于向合法第三方服务认证,不外传
命令执行 NONE NONE 无 subprocess/exec 调用
5 项发现
🔗
中危 外部 URL 外部 URL
https://platform.openai.com/docs/changelog
docs/08-known-issues.md:130
🔗
中危 外部 URL 外部 URL
https://community.openai.com
docs/08-known-issues.md:131
🔗
中危 外部 URL 外部 URL
https://your-caldav-server.example.com
src/functionHandlers.ts:7
🔗
中危 外部 URL 外部 URL
https://rest.clicksend.com/v3/sms/send
src/functionHandlers.ts:397
🔗
中危 外部 URL 外部 URL
https://api.twilio.com/2010-04-01/Accounts/$
src/functionHandlers.ts:424

目录结构

19 文件 · 124.4 KB · 3676 行
TypeScript 5f · 1968L Markdown 11f · 1643L JSON 2f · 57L XML 1f · 8L
├─ 📁 docs
│ ├─ 📝 01-overview.md Markdown 44L · 1.9 KB
│ ├─ 📝 02-session-config.md Markdown 177L · 5.0 KB
│ ├─ 📝 03-prewarm-outbound.md Markdown 237L · 7.4 KB
│ ├─ 📝 04-inbound-modes.md Markdown 274L · 9.1 KB
│ ├─ 📝 05-async-tools.md Markdown 146L · 5.1 KB
│ ├─ 📝 06-latency-tuning.md Markdown 103L · 3.5 KB
│ ├─ 📝 07-twilio-integration.md Markdown 114L · 3.5 KB
│ ├─ 📝 08-known-issues.md Markdown 132L · 3.8 KB
│ └─ 📝 09-openclaw-config.md Markdown 140L · 4.3 KB
├─ 📁 src
│ ├─ 📜 functionHandlers.ts TypeScript 564L · 19.3 KB
│ ├─ 📜 server.ts TypeScript 397L · 14.6 KB
│ ├─ 📜 sessionManager.ts TypeScript 929L · 32.8 KB
│ ├─ 📄 twiml.xml XML 8L · 187 B
│ ├─ 📜 types.ts TypeScript 31L · 614 B
│ └─ 📜 webhook.ts TypeScript 47L · 1.3 KB
├─ 📋 package.json JSON 39L · 974 B
├─ 📝 README.md Markdown 176L · 5.6 KB
├─ 📝 SKILL.md Markdown 100L · 4.9 KB
└─ 📋 tsconfig.json JSON 18L · 419 B

依赖分析 5 项

包名版本来源已知漏洞备注
express ^4.21.2 npm 版本锁定
ws ^8.18.0 npm WebSocket 客户端,版本锁定
cors ^2.8.5 npm 版本锁定
dotenv ^16.4.5 npm 版本锁定
typescript ^5.5.4 npm 构建工具

安全亮点

✓ 所有网络请求均指向已知官方 API 端点(OpenAI wss://api.openai.com、Twilio https://api.twilio.com、ClickSend https://rest.clicksend.com)
✓ 凭证(OPENAI_API_KEY、TWILIO_AUTH_TOKEN 等)仅用于对第三方服务的本地认证,无外传行为
✓ webhook 发送需要显式配置 TRANSCRIPT_WEBHOOK_URL,未配置时跳过,无静默外传
✓ 无 subprocess/exec 调用,无远程脚本执行
✓ 无 base64 管道、eval、裸 IP 请求等高危模式
✓ 无对 ~/.ssh、~/.aws、.env 等敏感路径的访问
✓ 依赖包均为知名且版本锁定的 npm 库(express、ws、cors、dotenv)
✓ 文档(SKILL.md)与实际代码能力高度一致,无阴影功能