中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:10 hr ago Rescan
5 /100
wecom-voice
Send native voice messages to WeCom using Windows TTS
WeCom语音消息发送工具,功能清晰,无恶意行为,仅包含标准的TTS转换和消息发送流程。
Skill Namewecom-voice
Duration28.3s
Enginepi
Safe to install
无需限制,可安全使用。代码功能与文档描述一致,执行流程简单直接。

Findings 2 items

Severity Finding Location
Info
PowerShell Bypass执行策略 RCE
代码使用 -ExecutionPolicy Bypass 执行PowerShell脚本。这是Windows环境下运行本地脚本的标准方式,非恶意行为。
execSync(`powershell -ExecutionPolicy Bypass -File "${ps1File}"`
→ 无需处理,这是预期的PowerShell行为
 scripts/send-voice.cjs:36
Info
访问用户目录 Sensitive Access
代码在用户配置目录中创建临时文件和工作文件,行为符合工具设计。
const USERPROFILE = process.env.USERPROFILE || process.env.HOME
→ 无需处理,工具需要在指定目录操作
 scripts/send-voice.cjs:11
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned scripts/send-voice.cjs:30-33 写入PS1临时文件
Shell WRITE WRITE ✓ Aligned scripts/send-voice.cjs:36,48,57 三处execSync调用
EXECUTE EXECUTE ✓ Aligned scripts/send-voice.cjs:57 openclaw CLI发送消息

File Tree

2 files · 3.8 KB · 134 lines
JavaScript 1f · 72L Markdown 1f · 62L
├─ 📁 scripts
│ └─ 📜 send-voice.cjs JavaScript 72L · 2.2 KB
└─ 📝 skill.md Markdown 62L · 1.5 KB

Security Positives

✓ 代码功能简单清晰,与文档描述完全一致
✓ 无编码或混淆操作
✓ 无凭证读取或数据外泄行为
✓ 无隐藏的网络请求或C2通信
✓ 使用标准CLI工具(openclaw)发送消息,符合声明
✓ FFmpeg路径虽硬编码但可正常回退