中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
local-voice-agent
Complete offline voice-to-voice AI assistant for OpenClaw (Whisper.cpp STT + Pocket-TTS)
离线语音助手技能,代码实现与声明一致,仅调用本地 Whisper.cpp 和 Pocket-TTS 服务,无敏感数据收集或外传行为。
技能名称local-voice-agent
分析耗时45.2s
引擎pi
可以安装
可安全使用。权限使用合理(shell:WRITE 用于执行 whisper-cli/ffmpeg),网络请求仅限本地 TTS 服务。如需更高隔离,可限制 shell:WRITE 权限。

安全发现 2 项

严重性 安全发现 位置
低危
文档声称离线但实际依赖本地服务
SKILL.md 强调'100% local processing, no cloud APIs',但代码需要运行在 localhost:5000 的 Pocket-TTS 服务器。配置文件注释提到'VPS instance',暗示可能使用远程服务器。
100% local processing, no cloud APIs, no costs
→ 更新文档说明需要本地 Pocket-TTS 服务,或确保 TTS 服务确实是本地的
 SKILL.md:5
提示
session_key 配置项未使用
config/voices.yaml 中定义了 session_key 和 openclaw 配置节,但代码中只是占位符(process_with_ai 函数为注释代码)。
session_key: ""
→ 如不需要 OpenClaw 集成,可移除未使用的配置项
 config/voices.yaml:58
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 lib/stt.py:58-62 读取配置和模型文件
命令执行 NONE WRITE ✓ 一致 lib/stt.py:95-98 subprocess 调用 whisper-cli; bin/voice-agent.sh:133 使用 ffmpeg
网络访问 NONE READ ✓ 一致 lib/tts.py:108-114 requests.post 到本地 TTS 服务器
2 项发现
🔗
中危 外部 URL 外部 URL
https://discord.com/invite/clawd
README.md:304
🔗
中危 外部 URL 外部 URL
https://docs.openclaw.ai$
install.sh:25

目录结构

12 文件 · 52.2 KB · 2013 行
Shell 6f · 720L Python 2f · 588L Markdown 2f · 583L YAML 1f · 79L Ignore 1f · 43L
├─ 📁 bin
│ ├─ 🔧 text-to-voice.sh Shell 129L · 3.6 KB
│ ├─ 🔧 voice-agent.sh Shell 302L · 9.3 KB
│ └─ 🔧 voice-to-text.sh Shell 109L · 2.9 KB
├─ 📁 config
│ └─ 📋 voices.yaml YAML 79L · 1.7 KB
├─ 📁 examples
│ ├─ 🔧 conversation-mode.sh Shell 20L · 564 B
│ └─ 🔧 morning-briefing.sh Shell 27L · 609 B
├─ 📁 lib
│ ├─ 🐍 stt.py Python 289L · 8.4 KB
│ └─ 🐍 tts.py Python 299L · 8.3 KB
├─ 📄 .gitignore Ignore 43L · 365 B
├─ 🔧 install.sh Shell 133L · 4.1 KB
├─ 📝 README.md Markdown 308L · 6.6 KB
└─ 📝 SKILL.md Markdown 275L · 5.7 KB

依赖分析 2 项

包名版本来源已知漏洞备注
requests * pip 无版本锁定,但用于调用本地服务风险可控
pyyaml * pip 无版本锁定

安全亮点

✓ 无凭证收割行为(未遍历环境变量匹配敏感关键字)
✓ 无远程代码执行(subprocess 仅调用本地工具)
✓ 无数据外传(所有请求均指向 localhost)
✓ 无 base64/eval 混淆
✓ 无隐藏 HTML 注释指令
✓ 无访问 ~/.ssh、~/.aws 等敏感路径