xiaomi-mimo-tts Security Report — Trusted | ClawSafe

5 /100

xiaomi-mimo-tts

小米 MiMo TTS 语音合成工具

纯正的 Xiaomi MiMo TTS 语音合成技能，所有实现均为合法的音频编解码操作，无恶意行为。base64 解码仅用于处理 API 返回的音频数据（非代码执行），与预扫描标记一致。

Skill Namexiaomi-mimo-tts

Duration33.7s

Enginepi

✓

Safe to install

该技能可直接使用。base64 解码是 TTS 场景的标准用法，用于处理 API 返回的二进制音频流，无安全风险。

Findings 2 items

Severity	Finding	Location
Info	预扫描 base64 IOC 属误报 scripts/base/mimo-tts.sh:58 和 scripts/base/mimo_tts.js:81 的 base64 解码用于处理 API 返回的二进制音频流，是 TTS 场景的标准用法，非代码混淆。 `\| jq -r '.choices[0].message.audio.data' \| base64 -d > "$OUTPUT.wav"` → 无需修改，这是合法音频解码操作	`scripts/base/mimo-tts.sh:58`
Info	API 凭证使用规范技能使用 XIAOMI_API_KEY/MIMO_API_KEY 环境变量访问 MiMo API，未发现凭证外泄或非授权访问。 `export XIAOMI_API_KEY="${MIMO_API_KEY}"` → 符合预期用法	`scripts/_env.sh:8`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	scripts/base/mimo-tts.sh:54 调用 api.xiaomimimo.com；scripts/base/mimo_tts.js:66 使用…
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/base/mimo-tts.sh:58 写入 .wav/.ogg 输出文件；SKILL.md 声明输出文件
Shell	`NONE`	`WRITE`	✓ Aligned	scripts/base/mimo-tts.sh 调用 ffmpeg、curl、jq 等 CLI 工具；SKILL.md 隐含调用外部工具

2 Critical 5 findings

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

base64 -d

scripts/base/mimo-tts.sh:58

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

Buffer.from(audio_b64, 'base64'

scripts/base/mimo_tts.js:81

🔗

Medium External URL 外部 URL

https://platform.xiaomimimo.com/

README.md:76

🔗

Medium External URL 外部 URL

https://api.xiaomimimo.com/v1/chat/completions

scripts/base/mimo-tts.sh:54

🔗

Medium External URL 外部 URL

https://api.xiaomimimo.com/v1/models

scripts/utils/test.sh:31

File Tree

20 files · 51.4 KB · 1557 lines

Shell 11f · 816L Markdown 3f · 487L Python 2f · 128L JavaScript 2f · 115L JSON 2f · 11L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 base

│ │ ├─ 📜 mimo_tts.js JavaScript 98L · 3.2 KB

│ │ ├─ 🐍 mimo_tts.py Python 107L · 3.5 KB

│ │ └─ 🔧 mimo-tts.sh Shell 67L · 2.0 KB

│ ├─ ▾ 📁 examples

│ │ ├─ 🔧 demo.sh Shell 65L · 2.2 KB

│ │ ├─ 🔧 dialect-tester.sh Shell 106L · 3.6 KB

│ │ └─ 🔧 tease-generator.sh Shell 86L · 3.8 KB

│ ├─ ▾ 📁 smart

│ │ ├─ 📜 mimo_tts_smart.js JavaScript 17L · 822 B

│ │ ├─ 🐍 mimo_tts_smart.py Python 21L · 889 B

│ │ ├─ 🔧 mimo_tts_smart.sh Shell 109L · 3.0 KB

│ │ └─ 🔧 mimo-tts-smart.sh Shell 88L · 3.0 KB

│ ├─ ▾ 📁 utils

│ │ └─ 🔧 test.sh Shell 65L · 1.5 KB

│ ├─ 🔧 _env.sh Shell 27L · 867 B

│ ├─ 🔧 mimo-tts-smart.sh Shell 96L · 3.3 KB

│ ├─ 🔧 mimo-tts.sh Shell 70L · 2.1 KB

│ └─ 🔧 test_local.sh Shell 37L · 964 B

├─ 📋 _meta.json JSON 5L · 134 B

├─ 📝 CHANGELOG.md Markdown 47L · 2.2 KB

├─ 📋 package.json JSON 6L · 179 B

├─ 📝 README.md Markdown 216L · 7.4 KB

└─ 📝 SKILL.md Markdown 224L · 6.7 KB

Security Positives

✓ 纯 TTS 功能，无数据收集或外传行为

✓ API 调用指向官方域名 api.xiaomimimo.com

✓ 文件写入仅限指定输出路径，符合声明

✓ CLI 工具调用（curl/ffmpeg/jq）在 fallback 场景下合理使用

✓ 代码结构清晰，多语言实现一致

Scan Report

Findings 2 items

File Tree

Security Positives