free-tts-voice-cloning 安全扫描报告 — 可信 | ClawSafe

5 /100

free-tts-voice-cloning

免费文字转语音与克隆 - 基于 Qwen3-TTS-1.7B 的本地 TTS 工具

合法开源 TTS 工具，代码简单清晰，无任何恶意行为迹象，install_dependencies.sh 脚本权限声明宽泛但不涉及敏感操作。

技能名称free-tts-voice-cloning

分析耗时50.4s

引擎pi

✓

可以安装

可安全使用。建议用户仅从可信来源安装 mlx-audio 依赖。

安全发现 2 项

严重性	安全发现	位置
低危	Python 依赖未锁定版本供应链 install_dependencies.sh 中 `python3.10 -m pip install mlx-audio` 和 package.json 中的 mlx-audio 均无版本锁定，存在依赖被恶意篡改的间接供应链风险 `python3.10 -m pip install mlx-audio` → 建议锁定版本：mlx-audio==x.x.x	`install_dependencies.sh:18`
提示	mlx-audio 为间接依赖供应链 skill 本身不含恶意代码，mlx-audio 是唯一直接依赖。该库为 Qwen 官方案例代码中使用的主流开源库，由 Apple MLX 生态背书，当前无已知漏洞报告 `mlx-audio` → 持续关注 mlx-audio 官方仓库的安全更新	`package.json:9`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	voice_cloning_demo.py:55 os.path.exists() 读取文件元数据
文件系统	`NONE`	`WRITE`	✓ 一致	voice_cloning_demo.py:79 open(output, 'wb') 写入生成的音频文件
网络访问	`NONE`	`READ`	✓ 一致	mlx_audio.tts.utils.load_model() 从 HuggingFace 下载模型（间接调用，标准 TTS 行为）
命令执行	`NONE`	`NONE`	—	voice_cloning_demo.py 无任何 subprocess/os.system 调用

3 项发现

🔗

中危外部 URL 外部 URL

http://127.0.0.1:18789/

README.md:25

🔗

中危外部 URL 外部 URL

https://hf-mirror.com

SKILL.md:239

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai/skills/voice-cloning

package.json:19

6 文件 · 19.3 KB · 645 行

Markdown 2f · 446L Python 1f · 133L JSON 2f · 36L Shell 1f · 30L

├─ 📋 _meta.json JSON 11L · 575 B

├─ 🔧 install_dependencies.sh Shell 30L · 679 B

├─ 📋 package.json JSON 25L · 958 B

├─ 📝 README.md Markdown 119L · 3.0 KB

├─ 📝 SKILL.md Markdown 327L · 10.3 KB

└─ 🐍 voice_cloning_demo.py Python 133L · 3.8 KB

包名	版本	来源	已知漏洞	备注
`mlx-audio`	`*`	pip	否	无版本锁定，由 Apple MLX 生态维护的主流开源库

✓ voice_cloning_demo.py 代码结构清晰，仅 133 行，无任何 subprocess/eval/os.system 等危险调用

✓ 无任何凭证收割、环境变量遍历、敏感路径访问等高危行为

✓ 无 Base64 编码、代码混淆或隐藏指令

✓ install_dependencies.sh 使用官方 Homebrew 脚本，来源可信

✓ SKILL.md 文档详细说明了法律免责声明，声明了隐私保护（本地运行）

✓ 所有文件均为明文可读，无二进制混淆

✓ 代码逻辑与声称功能（本地 TTS + 声音克隆）完全一致