Name: xunfei-voice-reply 安全扫描报告 — 可信 | ClawSafe
Item: xunfei-voice-reply
Rating: 95
Author: ClawSafe

5 /100

xunfei-voice-reply

讯飞语音回复技能 - 使用讯飞 TTS 生成语音并发送到飞书

讯飞语音合成技能，代码实现与文档声明一致，无恶意行为。Base64 用于讯飞 TTS API 标准请求/响应编码，属于正常用法。

技能名称xunfei-voice-reply

分析耗时31.1s

引擎pi

ClawHub XunFei Voice Reply v1.0.0 by wglnngt

📥 192 📦 1

ClawHub 判定可疑 dangerous_execllm_suspicious

✓

可以安装

无需修改。可正常使用。

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	lib/tts-config.js:29 读取 config.json
文件系统	`WRITE`	`WRITE`	✓ 一致	lib/tts-core.js:62 写入 /tmp/openclaw/ 音频文件
网络访问	`READ`	`READ`	✓ 一致	lib/tts-core.js:42 WebSocket 连接 tts-api.xfyun.cn
命令执行	`WRITE`	`WRITE`	✓ 一致	lib/tts-core.js:64 execSync 调用 ffmpeg

1 严重 3 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(res.data.audio, 'base64'

lib/tts-core.js:73

🔗

中危外部 URL 外部 URL

https://www.xfyun.cn/

references/setup.md:7

🔗

中危外部 URL 外部 URL

https://www.xfyun.cn/doc/tts/online_tts/API.html

references/setup.md:66

目录结构

7 文件 · 24.2 KB · 691 行

Markdown 3f · 450L JavaScript 3f · 223L JSON 1f · 18L

├─ ▾ 📁 lib

│ ├─ 📜 tts-config.js JavaScript 58L · 1.4 KB

│ └─ 📜 tts-core.js JavaScript 109L · 3.6 KB

├─ ▾ 📁 references

│ ├─ 📝 setup.md Markdown 127L · 2.4 KB

│ └─ 📝 voice-flow.md Markdown 184L · 12.0 KB

├─ ▾ 📁 scripts

│ └─ 📜 voice-reply.js JavaScript 56L · 1.5 KB

├─ 🔑 config.json ⚠ JSON 18L · 389 B

└─ 📝 SKILL.md Markdown 139L · 3.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`ws`	`*`	npm	否	WebSocket 客户端，讯飞 API 必需

✓ 文档声明与代码实现完全一致

✓ Base64 编解码是讯飞 TTS API 的标准用法（发送文本+接收音频）

✓ 音频文件输出到 /tmp/openclaw/，符合 OpenClaw 临时目录规范

✓ 无远程代码执行、无凭证外传、无隐藏功能

✓ 错误处理完善（TTS 超时降级到文字回复）