by 安全扫描
OpenClaw
可疑
high confidence该技能声称使用 Volcengine/ARK API,但包含的脚本实际与字节跳动/openspeech 端点交互,且预期不同的凭证和配置位置——这些部分不匹配。
评估建议
不要仅凭技能名称或 SKILL.md 假设此技能使用 Volcengine/ARK。捆绑的脚本实际上将音频上传到 openspeech.bytedance.com,并预期 VOLC_APP_ID / VOLC_ACCESS_TOKEN(或从 ~/.openclaw/openclaw.json 读取)——这种不匹配可能是意外或故意的。安装前:1) 询问发布者技能的预期提供商并请求纠正文档或代码。2) 如果必须测试,请在沙盒或隔离账户中运行脚本,使用非敏感测试音频。3) 在明确提供商/凭证映射之前,不要提供生产凭证;如果已经提供密钥,请考虑旋转它们。4) 如果预期 Volcengine/ARK,请获取实际调用 ARK 端点的版本或修改脚本。5) 了解脚本传输本地音频并可能从 OpenClaw 配置中读取机密信息——仅在信任目的地并审查代码后运行。...详细分析 ▾
⚠ 用途与能力
技能名称和文档承诺使用火山引擎 ARK 语音转文本,但脚本实际使用字节跳动 openspeech 服务,凭证和端点不匹配。
⚠ 指令范围
脚本读取本地配置或环境变量的凭证,编码音频上传到字节跳动服务器,但文档未明述此行为。
✓ 安装机制
无需额外安装,直接使用脚本,依赖常见系统工具。
⚠ 凭证需求
文档声明需要 ARK 凭证,但脚本实际使用 VOLC 凭证,并从未声明的配置文件中读取。
✓ 持久化与权限
仅读取本地配置文件获取凭证,无其他高权限访问。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.2.12026/3/2
修复配置回退,优先考虑 skills.entries.volcengine-stt.env.VOLC_*;保持标准 API 流稳定
● 无害
安装命令 点击复制
官方npx clawhub@latest install volcengine-stt
镜像加速npx clawhub@latest install volcengine-stt --registry https://cn.clawhub-mirror.com
技能文档
使用此技能通过火山引擎运行语音转文本。
快速开始
{baseDir}/scripts/transcribe.sh /path/to/audio.ogg
- 端点:
${ARK_BASE_URL:-https://ark.cn-beijing.volces.com/api/v3}/audio/transcriptions - 模型:
${ARK_STT_MODEL:-doubao-seed-asr-1-0} - 验证头:
Authorization: Bearer $ARK_API_KEY - 输出文件:
.txt
必需环境变量
ARK_API_KEY(必需)
ARK_BASE_URL(默认:https://ark.cn-beijing.volces.com/api/v3)ARK_STT_MODEL(默认:doubao-seed-asr-1-0)
有用标志
# 保存纯文本到自定义路径
{baseDir}/scripts/transcribe.sh ./voice.ogg --out /tmp/voice.txt
# 强制模型
{baseDir}/scripts/transcribe.sh ./voice.ogg --model doubao-seed-asr-1-0
# 返回原始 JSON(用于调试/集成)
{baseDir}/scripts/transcribe.sh ./voice.ogg --json --out /tmp/voice.json
# 当需要时提示语言/提示
{baseDir}/scripts/transcribe.sh ./voice.ogg --language zh --prompt "中英混合,保留术语"
集成说明
- 对于 OpenClaw 语音消息处理,调用此脚本而不是 Whisper 脚本。
- 将密钥存储在机器本地配置或环境变量中,永远不要提交秘密。
- 如果您的火山引擎账户使用不同的模型名称,请传递
--model或设置ARK_STT_MODEL。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制