xeontts 安全扫描报告 — 可信 | ClawSafe

5 /100

xeontts

基于 OpenVINO Qwen3-TTS 的本地语音合成技能，支持音色克隆与风格化 TTS

合法的本地 TTS 语音合成技能，仅在本地内网运行，无恶意行为

技能名称xeontts

分析耗时44.5s

引擎pi

✓

可以安装

可安全使用

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md 声明文件写入，代码创建 outputs/references/runtime 目录并落盘音频
网络访问	`READ`	`READ`	✓ 一致	仅访问 localhost Flask 服务 (127.0.0.1:5002)，无外部通信
命令执行	`NONE`	`READ`	✓ 一致	仅通过 execFile 调用 ffprobe 校验音频时长（已声明于故障排查）
环境变量	`NONE`	`NONE`	—	无环境变量遍历或敏感关键字匹配
数据库	`NONE`	`NONE`	—	仅使用 JSON 文件做会话状态管理

2 严重 14 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(result.audio_base64, 'base64'

server.js:513

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(data.audio_base64, 'base64'

server.js:557

🔗

中危外部 URL 外部 URL

http://127.0.0.1:5002/api/tts/synthesize

.clawhub.json:13

🔗

中危外部 URL 外部 URL

http://127.0.0.1:5002/api/health

README.md:164

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9002/health

README.md:194

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9002/api/workflow/message

README.md:202

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9002/api/workflow/reference-audio

README.md:210

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9002/api/tts/custom-speak

README.md:227

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9002

SKILL.md:119

🔗

中危外部 URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:27

🔗

中危外部 URL 外部 URL

https://ko-fi.com/tunnckoCore/commissions

package-lock.json:69

🔗

中危外部 URL 外部 URL

http://127.0.0.1

server.js:685

🔗

中危外部 URL 外部 URL

https://hf-mirror.com

setup_env.sh:4

🔗

中危外部 URL 外部 URL

https://repo.anaconda.com/miniconda/Miniconda3-py310_23.11.0-2-Linux-x86_64.sh

setup_env.sh:110

目录结构

17 文件 · 71.5 KB · 2183 行

JavaScript 1f · 824L Shell 8f · 733L Markdown 2f · 434L JSON 6f · 192L

├─ 📋 _meta.json JSON 6L · 127 B

├─ 📋 .clawhub.json JSON 27L · 1010 B

├─ 📋 config.example.json JSON 21L · 698 B

├─ 🔧 configure_openclaw_integration.sh Shell 81L · 2.4 KB

├─ 🔧 install_systemd_services.sh Shell 62L · 1.8 KB

├─ 🔧 install.sh Shell 54L · 1.3 KB

├─ 📋 package-lock.json JSON 88L · 2.8 KB

├─ 📋 package.json JSON 22L · 690 B

├─ 📝 README.md Markdown 270L · 8.7 KB

├─ 🔧 self_check.sh Shell 86L · 3.1 KB

├─ 📜 server.js JavaScript 824L · 29.0 KB

├─ 🔧 setup_env.sh Shell 338L · 10.7 KB

├─ 📝 SKILL.md Markdown 164L · 5.1 KB

├─ 🔧 start_all.sh Shell 48L · 1.3 KB

├─ 🔧 start_tts_service.sh Shell 45L · 1.4 KB

├─ 🔧 stop_tts.sh Shell 19L · 509 B

└─ 📋 tts_config.example.json JSON 28L · 988 B

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`formidable`	`^3.5.4`	npm	否	版本锁定于 package-lock.json

安全亮点

✓ 文档完整，SKILL.md 详细描述功能与限制

✓ 网络完全隔离，仅 localhost 通信

✓ 无凭证收割、无外部数据外泄

✓ 无 eval/shell 注入风险

✓ 无敏感路径访问（~/.ssh、~/.aws 等）

✓ 文件保留期自动清理机制合理

✓ 依赖极简（仅 formidable），版本锁定于 package-lock.json

✓ Config 修改前自动备份（backupPath）

✓ 多系统支持（Debian/RHEL）但有回退处理