by 安全扫描
OpenClaw
安全
high confidence该技能实现了一个自托管的 VoScript REST 客户端(支持上传、轮询、获取、导出和声纹管理),其所需文件与运行时行为均与此目的保持一致。
评估建议
此技能与其描述一致,但安装前请注意:
1. 必须提供可信的 VOSCRIPT_URL 和 VOSCRIPT_API_KEY —— 切勿为不受控的生产服务提供密钥。
2. 技能会向配置的服务器发送音频(并可注册/删除声纹)—— 声纹属于生物特征数据,请注意隐私风险。
3. 需确保 Python 运行时及 'requests' 包可用(该包无安装说明)。
4. 注册元数据未列出脚本所需的环境变量 —— 以 SKILL.md 为准。
若继续,请将技能指向你控制或信任的 VoScript 实例,并在怀疑密钥泄露时轮换 API 密钥。...详细分析 ▾
✓ 用途与能力
名称/描述与所包含的脚本和文档一致:所有文件均对用户提供 VoScript 服务器发起 REST 调用(submit、poll、fetch、export、声纹注册/管理)。唯一的轻微元数据不匹配是 registry 的“Requirements”未列出必需的环境变量,而 SKILL.md 和脚本明显需要 VOSCRIPT_URL 与 VOSCRIPT_API_KEY(SKILL.md 指示 agent 在缺失时提示用户)。这是文档/元数据缺口,而非功能不匹配。
✓ 指令范围
SKILL.md 及脚本仅与配置的 VoScript HTTP API 通信,并进行本地文件 I/O(用于导出或提示)。脚本读取常用环境变量以完成配置和语言检测(LANG/LANGUAGE),并提供诊断信息,但不会尝试读取无关的系统密钥或文件。脚本确实提供修改服务器状态的操作(注册/删除声纹),这符合所述功能。
ℹ 安装机制
无安装规范(仅含指令),因此不会自动下载或执行任何内容——风险较低。但打包脚本依赖 Python 及 requests 库(common.py 注明“stdlib + requests”),而注册表元数据中未声明;用户/代理需在运行脚本前确保 Python 运行时和 requests 可用。
✓ 凭证需求
该技能仅使用 VOSCRIPT_URL 和 VOSCRIPT_API_KEY 两项敏感信息,它们正是连接自托管 VoScript 服务器所需的凭证。脚本还会读取 LANG/LC_* 以选择界面语言,这些信息不敏感。不会请求任何无关的云凭证或系统令牌。
✓ 持久化与权限
该技能未标记 always:true,也不会尝试修改其他技能或系统级代理设置。它仅针对已配置的服务器执行自身的客户端操作。默认允许自主调用(正常);结合该技能的有限范围,不会引发额外担忧。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.22026/4/22
初始版本 — 12 个 AI 代理的完整 VoScript 工作流
● 无害
安装命令
点击复制官方npx clawhub@latest install voscript-api
镜像加速npx clawhub@latest install voscript-api --registry https://cn.longxiaskill.com