Scan Report
5 /100
free-tts-voice-cloning
免费文字转语音与克隆 - 基于 Qwen3-TTS-1.7B 的本地 TTS 工具
合法开源 TTS 工具,代码简单清晰,无任何恶意行为迹象,install_dependencies.sh 脚本权限声明宽泛但不涉及敏感操作。
Safe to install
可安全使用。建议用户仅从可信来源安装 mlx-audio 依赖。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | Python 依赖未锁定版本 Supply Chain | install_dependencies.sh:18 |
| Info | mlx-audio 为间接依赖 Supply Chain | package.json:9 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ | ✓ Aligned | voice_cloning_demo.py:55 os.path.exists() 读取文件元数据 |
| Filesystem | NONE | WRITE | ✓ Aligned | voice_cloning_demo.py:79 open(output, 'wb') 写入生成的音频文件 |
| Network | NONE | READ | ✓ Aligned | mlx_audio.tts.utils.load_model() 从 HuggingFace 下载模型(间接调用,标准 TTS 行为) |
| Shell | NONE | NONE | — | voice_cloning_demo.py 无任何 subprocess/os.system 调用 |
3 findings
Medium External URL 外部 URL
http://127.0.0.1:18789/ README.md:25 Medium External URL 外部 URL
https://hf-mirror.com SKILL.md:239 Medium External URL 外部 URL
https://docs.openclaw.ai/skills/voice-cloning package.json:19 File Tree
6 files · 19.3 KB · 645 lines Markdown 2f · 446L
Python 1f · 133L
JSON 2f · 36L
Shell 1f · 30L
├─
_meta.json
JSON
├─
install_dependencies.sh
Shell
├─
package.json
JSON
├─
README.md
Markdown
├─
SKILL.md
Markdown
└─
voice_cloning_demo.py
Python
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
mlx-audio | * | pip | No | 无版本锁定,由 Apple MLX 生态维护的主流开源库 |
Security Positives
✓ voice_cloning_demo.py 代码结构清晰,仅 133 行,无任何 subprocess/eval/os.system 等危险调用
✓ 无任何凭证收割、环境变量遍历、敏感路径访问等高危行为
✓ 无 Base64 编码、代码混淆或隐藏指令
✓ install_dependencies.sh 使用官方 Homebrew 脚本,来源可信
✓ SKILL.md 文档详细说明了法律免责声明,声明了隐私保护(本地运行)
✓ 所有文件均为明文可读,无二进制混淆
✓ 代码逻辑与声称功能(本地 TTS + 声音克隆)完全一致