Name: audio-analyzer 安全扫描报告 — 可信 | ClawSafe
Item: audio-analyzer
Rating: 95
Author: ClawSafe

5 /100

audio-analyzer

赛艇教练录音分析：转写+说话人声纹识别+场景自动判断+结构化纪要

合法的赛艇教练录音分析技能，声明与实际行为一致，无恶意行为。

技能名称audio-analyzer

分析耗时43.3s

引擎pi

ClawHub Smart Audio Analyzer v1.2.1 by jojowillwater

📥 231 📦 1

ClawHub 判定可疑 dangerous_execvt_suspicious

✓

可以安装

可直接使用。API密钥仅用于声明的云ASR服务，环境变量访问范围合理（仅声明的4个键），本地声纹库存储符合隐私声明。

安全发现 1 项

严重性	安全发现	位置
提示	npm 依赖无版本锁定（低风险）供应链 package.json 中 assemblyai、openai、dotenv 使用 ^ 兼容版本，未锁定精确版本。assemblyai 和 openai 为知名库，风险可控。 `"assemblyai": "^4.8.0"` → 生产环境建议锁定精确版本（如 assemblyai: 4.8.0），避免供应链攻击	`scripts/package.json:9`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	analyze.js:line283-296 写转写文件和摘要到音频同目录，符合声明
网络访问	`READ`	`READ`	✓ 一致	analyze.js:line125-126 访问 Gemini/OpenRouter 端点，transcribeAssemblyAI 访问 AssemblyA…
命令执行	`WRITE`	`WRITE`	✓ 一致	analyze.js:line133 execSync('which whisper'); analyze.js:line144 execSync whispe…
环境变量	`READ`	`READ`	✓ 一致	analyze.js:line8-16 读取4个声明的API密钥变量；voiceprint.py:line22 读取WESPEAKER_MODEL——均已声明
剪贴板	`NONE`	`NONE`	—	无剪贴板操作

4 项发现

🔗

中危外部 URL 外部 URL

https://api.open-meteo.com/v1/forecast?latitude=31.143&longitude=121.657&hourly=temperature_2m

references/scenes/rowing.md:10

🔗

中危外部 URL 外部 URL

https://openrouter.ai/api/v1

scripts/analyze.js:12

🔗

中危外部 URL 外部 URL

https://dotenvx.com

scripts/package-lock.json:120

🔗

中危外部 URL 外部 URL

https://paypal.me/jimmywarting

scripts/package-lock.json:380

目录结构

11 文件 · 59.7 KB · 1823 行

JSON 2f · 512L Markdown 7f · 487L Python 1f · 426L JavaScript 1f · 398L

├─ ▾ 📁 references

│ ├─ ▾ 📁 scenes

│ │ ├─ 📝 general.md Markdown 29L · 536 B

│ │ ├─ 📝 interview.md Markdown 36L · 885 B

│ │ ├─ 📝 meeting.md Markdown 40L · 905 B

│ │ ├─ 📝 rowing.md Markdown 40L · 1.3 KB

│ │ └─ 📝 talk.md Markdown 34L · 781 B

│ └─ 📝 voice-profiles.md Markdown 53L · 1.9 KB

├─ ▾ 📁 scripts

│ ├─ 📜 analyze.js JavaScript 398L · 13.0 KB

│ ├─ 📋 package-lock.json JSON 497L · 17.1 KB

│ ├─ 📋 package.json JSON 15L · 363 B

│ └─ 🐍 voiceprint.py Python 426L · 13.6 KB

└─ 📝 SKILL.md Markdown 255L · 9.4 KB

依赖分析 6 项

包名	版本	来源	已知漏洞	备注
`assemblyai`	`^4.8.0`	npm	否	无版本锁定
`openai`	`^4.70.0`	npm	否	无版本锁定
`dotenv`	`^16.4.0`	npm	否	无版本锁定
`numpy`	`*`	pip (optional)	否	可选依赖，无版本锁定
`librosa`	`*`	pip (optional)	否	可选依赖，无版本锁定
`onnxruntime`	`*`	pip (optional)	否	可选依赖，无版本锁定

安全亮点

✓ 文档完整，声明覆盖实际行为，权限粒度合理

✓ 环境变量仅访问声明的4个键，无遍历敏感关键字行为

✓ API密钥仅用于调用声明的云服务，无外传

✓ 本地声纹库（voice-db.json）完全离线存储，符合隐私声明

✓ voiceprint.py 为可选组件，主流程无需安装

✓ 无 base64 编码执行、无混淆代码、无隐藏指令

✓ 所有网络请求均为已知云服务 API（AssemblyAI/Gemini/OpenRouter），无裸 IP 请求

✓ shell 命令调用（whisper/ffmpeg）均已在 permissions 中声明