Name: funasr-nano-transcribe Security Report — Trusted | ClawSafe
Item: funasr-nano-transcribe
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

funasr-nano-transcribe

使用 Fun-ASR-Nano-2512 轻量级模型进行中文语音转文字

Fun-ASR-Nano-2512 语音转文字技能，代码与文档一致，无恶意行为，权限使用合理。

Skill Namefunasr-nano-transcribe

Duration36.9s

Enginepi

ClawHub Fun ASR Nano Transcribe v1.0.6 by frozenarctic

📥 271 📦 1

ClawHub Verdict Suspicious dynamic_code_executionllm_suspicious

✓

Safe to install

该技能可安全使用，遵循最小权限原则。

Findings 1 items

Severity	Finding	Location
Low	依赖版本未锁定 Supply Chain requirements.txt 使用 >= 版本约束，理论上可接受但存在拉取最新版本的风险 `funasr>=1.0.0 modelscope>=1.10.0 torch>=2.0.0` → 建议固定具体版本以确保可复现性和安全性	`requirements.txt:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:读取音频文件和模型文件
Filesystem	`WRITE`	`WRITE`	✓ Aligned	api_server.py:67 使用 tempfile.NamedTemporaryFile
Network	`READ`	`READ`	✓ Aligned	api_server.py:142 POST /transcribe 接收音频上传
Network	`READ`	`READ`	✓ Aligned	api_client.py:37 请求本地 API
Shell	`WRITE`	`WRITE`	✓ Aligned	api_client.py:62 subprocess 启动本地服务
Environment	`READ`	`READ`	✓ Aligned	setup_venv.sh:25 检查 Python 版本
Skill Invoke	`WRITE`	`WRITE`	✓ Aligned	各脚本正常调用 ASR 模型

3 findings

🔗

Medium External URL 外部 URL

https://download.pytorch.org/whl/cpu

SKILL.md:51

🔗

Medium External URL 外部 URL

http://127.0.0.1:11890

scripts/api_client.py:81

🔗

Medium External URL 外部 URL

http://127.0.0.1:11890/docs

scripts/api_server.py:239

File Tree

17 files · 100.0 KB · 3201 lines

Python 7f · 1893L Markdown 4f · 1063L Shell 5f · 221L Text 1f · 24L

├─ ▾ 📁 references

│ ├─ 📝 model_info.md Markdown 130L · 3.5 KB

│ └─ 📝 persistent_usage.md Markdown 154L · 3.3 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 activate.sh Shell 24L · 644 B

│ ├─ 🐍 api_client.py Python 138L · 4.4 KB

│ ├─ 🐍 api_server.py Python 260L · 8.1 KB

│ ├─ 🐍 batch_transcribe.py Python 180L · 5.7 KB

│ ├─ 🐍 download_model.py Python 337L · 10.2 KB

│ ├─ 🐍 FunASRNano.py Python 705L · 28.7 KB

│ ├─ 🐍 FunAsrTranscriber.py Python 176L · 6.0 KB

│ ├─ 🔧 setup_venv.sh Shell 90L · 2.2 KB

│ ├─ 🐍 transcribe.py Python 97L · 2.6 KB

│ └─ 🔧 verify_env.sh Shell 53L · 1.4 KB

├─ 📝 QUICKSTART.md Markdown 232L · 7.1 KB

├─ 📄 requirements.txt Text 24L · 326 B

├─ 📝 SKILL.md Markdown 547L · 14.7 KB

├─ 🔧 start_server.sh Shell 19L · 480 B

└─ 🔧 stop_server.sh Shell 35L · 883 B

Dependencies 6 items

Package	Version	Source	Known Vulns	Notes
`funasr`	`>=1.0.0`	pip	No	无版本锁定
`modelscope`	`>=1.10.0`	pip	No	无版本锁定
`torch`	`>=2.0.0`	pip	No	无版本锁定，推荐从 PyTorch 官方索引安装
`fastapi`	`>=0.100.0`	pip	No	无版本锁定
`uvicorn`	`>=0.23.0`	pip	No	无版本锁定
`requests`	`>=2.28.0`	pip	No	无版本锁定

Security Positives

✓ 代码与 SKILL.md 文档描述完全一致，无阴影功能

✓ 服务仅监听 127.0.0.1:11890，不对外暴露

✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无凭证收割、环境变量遍历或数据外传行为

✓ 无 Base64 编码、eval() 或远程代码执行

✓ 使用 FastAPI + uvicorn 标准架构，代码结构清晰

✓ 临时文件使用 tempfile 模块自动管理

✓ API 服务有完整的健康检查和错误处理

Scan Report

Findings 1 items

File Tree

Dependencies 6 items

Security Positives