wecom-voice 安全扫描报告 — 可信 | ClawSafe

5 /100

wecom-voice

Send native voice messages to WeCom using Windows TTS

WeCom语音消息发送工具，功能清晰，无恶意行为，仅包含标准的TTS转换和消息发送流程。

技能名称wecom-voice

分析耗时28.3s

引擎pi

✓

可以安装

无需限制，可安全使用。代码功能与文档描述一致，执行流程简单直接。

安全发现 2 项

严重性	安全发现	位置
提示	PowerShell Bypass执行策略代码执行代码使用 -ExecutionPolicy Bypass 执行PowerShell脚本。这是Windows环境下运行本地脚本的标准方式，非恶意行为。 execSync(`powershell -ExecutionPolicy Bypass -File "${ps1File}"` → 无需处理，这是预期的PowerShell行为	`scripts/send-voice.cjs:36`
提示	访问用户目录敏感访问代码在用户配置目录中创建临时文件和工作文件，行为符合工具设计。 `const USERPROFILE = process.env.USERPROFILE \|\| process.env.HOME` → 无需处理，工具需要在指定目录操作	`scripts/send-voice.cjs:11`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/send-voice.cjs:30-33 写入PS1临时文件
命令执行	`WRITE`	`WRITE`	✓ 一致	scripts/send-voice.cjs:36,48,57 三处execSync调用
	`EXECUTE`	`EXECUTE`	✓ 一致	scripts/send-voice.cjs:57 openclaw CLI发送消息

2 文件 · 3.8 KB · 134 行

JavaScript 1f · 72L Markdown 1f · 62L

├─ ▾ 📁 scripts

│ └─ 📜 send-voice.cjs JavaScript 72L · 2.2 KB

└─ 📝 skill.md Markdown 62L · 1.5 KB

✓ 代码功能简单清晰，与文档描述完全一致

✓ 无编码或混淆操作

✓ 无凭证读取或数据外泄行为

✓ 无隐藏的网络请求或C2通信

✓ 使用标准CLI工具(openclaw)发送消息，符合声明

✓ FFmpeg路径虽硬编码但可正常回退