Name: audio-analyzer Security Report — Trusted | ClawSafe
Item: audio-analyzer
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

audio-analyzer

赛艇教练录音分析：转写+说话人声纹识别+场景自动判断+结构化纪要

合法的赛艇教练录音分析技能，声明与实际行为一致，无恶意行为。

Skill Nameaudio-analyzer

Duration43.3s

Enginepi

ClawHub Smart Audio Analyzer v1.2.1 by jojowillwater

📥 231 📦 1

ClawHub Verdict Suspicious dangerous_execvt_suspicious

✓

Safe to install

可直接使用。API密钥仅用于声明的云ASR服务，环境变量访问范围合理（仅声明的4个键），本地声纹库存储符合隐私声明。

Findings 1 items

Severity	Finding	Location
Info	npm 依赖无版本锁定（低风险） Supply Chain package.json 中 assemblyai、openai、dotenv 使用 ^ 兼容版本，未锁定精确版本。assemblyai 和 openai 为知名库，风险可控。 `"assemblyai": "^4.8.0"` → 生产环境建议锁定精确版本（如 assemblyai: 4.8.0），避免供应链攻击	`scripts/package.json:9`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	analyze.js:line283-296 写转写文件和摘要到音频同目录，符合声明
Network	`READ`	`READ`	✓ Aligned	analyze.js:line125-126 访问 Gemini/OpenRouter 端点，transcribeAssemblyAI 访问 AssemblyA…
Shell	`WRITE`	`WRITE`	✓ Aligned	analyze.js:line133 execSync('which whisper'); analyze.js:line144 execSync whispe…
Environment	`READ`	`READ`	✓ Aligned	analyze.js:line8-16 读取4个声明的API密钥变量；voiceprint.py:line22 读取WESPEAKER_MODEL——均已声明
Clipboard	`NONE`	`NONE`	—	无剪贴板操作

4 findings

🔗

Medium External URL 外部 URL

https://api.open-meteo.com/v1/forecast?latitude=31.143&longitude=121.657&hourly=temperature_2m

references/scenes/rowing.md:10

🔗

Medium External URL 外部 URL

https://openrouter.ai/api/v1

scripts/analyze.js:12

🔗

Medium External URL 外部 URL

https://dotenvx.com

scripts/package-lock.json:120

🔗

Medium External URL 外部 URL

https://paypal.me/jimmywarting

scripts/package-lock.json:380

File Tree

11 files · 59.7 KB · 1823 lines

JSON 2f · 512L Markdown 7f · 487L Python 1f · 426L JavaScript 1f · 398L

├─ ▾ 📁 references

│ ├─ ▾ 📁 scenes

│ │ ├─ 📝 general.md Markdown 29L · 536 B

│ │ ├─ 📝 interview.md Markdown 36L · 885 B

│ │ ├─ 📝 meeting.md Markdown 40L · 905 B

│ │ ├─ 📝 rowing.md Markdown 40L · 1.3 KB

│ │ └─ 📝 talk.md Markdown 34L · 781 B

│ └─ 📝 voice-profiles.md Markdown 53L · 1.9 KB

├─ ▾ 📁 scripts

│ ├─ 📜 analyze.js JavaScript 398L · 13.0 KB

│ ├─ 📋 package-lock.json JSON 497L · 17.1 KB

│ ├─ 📋 package.json JSON 15L · 363 B

│ └─ 🐍 voiceprint.py Python 426L · 13.6 KB

└─ 📝 SKILL.md Markdown 255L · 9.4 KB

Dependencies 6 items

Package	Version	Source	Known Vulns	Notes
`assemblyai`	`^4.8.0`	npm	No	无版本锁定
`openai`	`^4.70.0`	npm	No	无版本锁定
`dotenv`	`^16.4.0`	npm	No	无版本锁定
`numpy`	`*`	pip (optional)	No	可选依赖，无版本锁定
`librosa`	`*`	pip (optional)	No	可选依赖，无版本锁定
`onnxruntime`	`*`	pip (optional)	No	可选依赖，无版本锁定

Security Positives

✓ 文档完整，声明覆盖实际行为，权限粒度合理

✓ 环境变量仅访问声明的4个键，无遍历敏感关键字行为

✓ API密钥仅用于调用声明的云服务，无外传

✓ 本地声纹库（voice-db.json）完全离线存储，符合隐私声明

✓ voiceprint.py 为可选组件，主流程无需安装

✓ 无 base64 编码执行、无混淆代码、无隐藏指令

✓ 所有网络请求均为已知云服务 API（AssemblyAI/Gemini/OpenRouter），无裸 IP 请求

✓ shell 命令调用（whisper/ffmpeg）均已在 permissions 中声明

Scan Report

Findings 1 items

File Tree

Dependencies 6 items

Security Positives