中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
funasr-nano-transcribe
使用 Fun-ASR-Nano-2512 轻量级模型进行中文语音转文字
Fun-ASR-Nano-2512 语音转文字技能,代码与文档一致,无恶意行为,权限使用合理。
技能名称funasr-nano-transcribe
分析耗时36.9s
引擎pi
ClawHub Fun ASR Nano Transcribe v1.0.6 by frozenarctic
📥 271 📦 1
ClawHub 判定 可疑 dynamic_code_executionllm_suspicious
可以安装
该技能可安全使用,遵循最小权限原则。

安全发现 1 项

严重性 安全发现 位置
低危
依赖版本未锁定 供应链
requirements.txt 使用 >= 版本约束,理论上可接受但存在拉取最新版本的风险
funasr>=1.0.0
modelscope>=1.10.0
torch>=2.0.0
→ 建议固定具体版本以确保可复现性和安全性
 requirements.txt:1
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 SKILL.md:读取音频文件和模型文件
文件系统 WRITE WRITE ✓ 一致 api_server.py:67 使用 tempfile.NamedTemporaryFile
网络访问 READ READ ✓ 一致 api_server.py:142 POST /transcribe 接收音频上传
网络访问 READ READ ✓ 一致 api_client.py:37 请求本地 API
命令执行 WRITE WRITE ✓ 一致 api_client.py:62 subprocess 启动本地服务
环境变量 READ READ ✓ 一致 setup_venv.sh:25 检查 Python 版本
技能调用 WRITE WRITE ✓ 一致 各脚本正常调用 ASR 模型
3 项发现
🔗
中危 外部 URL 外部 URL
https://download.pytorch.org/whl/cpu
SKILL.md:51
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:11890
scripts/api_client.py:81
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:11890/docs
scripts/api_server.py:239

目录结构

17 文件 · 100.0 KB · 3201 行
Python 7f · 1893L Markdown 4f · 1063L Shell 5f · 221L Text 1f · 24L
├─ 📁 references
│ ├─ 📝 model_info.md Markdown 130L · 3.5 KB
│ └─ 📝 persistent_usage.md Markdown 154L · 3.3 KB
├─ 📁 scripts
│ ├─ 🔧 activate.sh Shell 24L · 644 B
│ ├─ 🐍 api_client.py Python 138L · 4.4 KB
│ ├─ 🐍 api_server.py Python 260L · 8.1 KB
│ ├─ 🐍 batch_transcribe.py Python 180L · 5.7 KB
│ ├─ 🐍 download_model.py Python 337L · 10.2 KB
│ ├─ 🐍 FunASRNano.py Python 705L · 28.7 KB
│ ├─ 🐍 FunAsrTranscriber.py Python 176L · 6.0 KB
│ ├─ 🔧 setup_venv.sh Shell 90L · 2.2 KB
│ ├─ 🐍 transcribe.py Python 97L · 2.6 KB
│ └─ 🔧 verify_env.sh Shell 53L · 1.4 KB
├─ 📝 QUICKSTART.md Markdown 232L · 7.1 KB
├─ 📄 requirements.txt Text 24L · 326 B
├─ 📝 SKILL.md Markdown 547L · 14.7 KB
├─ 🔧 start_server.sh Shell 19L · 480 B
└─ 🔧 stop_server.sh Shell 35L · 883 B

依赖分析 6 项

包名版本来源已知漏洞备注
funasr >=1.0.0 pip 无版本锁定
modelscope >=1.10.0 pip 无版本锁定
torch >=2.0.0 pip 无版本锁定,推荐从 PyTorch 官方索引安装
fastapi >=0.100.0 pip 无版本锁定
uvicorn >=0.23.0 pip 无版本锁定
requests >=2.28.0 pip 无版本锁定

安全亮点

✓ 代码与 SKILL.md 文档描述完全一致,无阴影功能
✓ 服务仅监听 127.0.0.1:11890,不对外暴露
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 无凭证收割、环境变量遍历或数据外传行为
✓ 无 Base64 编码、eval() 或远程代码执行
✓ 使用 FastAPI + uvicorn 标准架构,代码结构清晰
✓ 临时文件使用 tempfile 模块自动管理
✓ API 服务有完整的健康检查和错误处理