by 安全扫描
OpenClaw
安全
high confidenceThe skill's requirements and runtime instructions are coherent with a spoken-expression coaching assistant; no disproportionate secrets, installs, or unrelated behaviors were requested.
评估建议
This skill appears coherent for a voice-first expression coach, but review the following before installing: 1) Whisper usage and privacy: confirm whether transcription is performed locally (openai-whisper runs locally) or uploaded to a remote API in your deployment—if audio is uploaded, that affects privacy. 2) Stored tokens: if you enable Feishu Bitable, the agent will request a link and store the extracted app_token and table_id in a local config.json; treat that token as sensitive and revoke ...详细分析 ▾
✓ 用途与能力
本技能为语音优先的表达教练,声明并使用Whisper二进制文件进行语音转文本,并(可选)使用飞书Bitable持久化数据。要求安装Whisper并通过pip安装openai-whisper,与描述功能一致,未请求无关凭据或系统路径。
ℹ 指令范围
SKILL.md给出详细运行指令,始终围绕声明目的(转录音频、分析停顿/填充词、给出反馈、可选同步练习记录到飞书Bitable)。两条小范围说明:1) 当用户提供Bitable链接时,指示代理将app_token和table_id写入本地config.json——这支持可选持久化,但意味着令牌将落盘;2) 技能承诺提供语音回放(TTS),但未声明TTS二进制或解释TTS是本地还是外部服务,出于隐私/实现原因应予以澄清。
✓ 安装机制
SKILL.md元数据包含pip安装openai-whisper(公共PyPI包)的提示,并要求whisper二进制文件,与语音转录技能相称。无 obscure URL下载、无任意压缩包提取、无不寻常安装路径。
✓ 凭证需求
技能在声明的元数据中未请求环境变量或平台凭据。唯一的凭据相关行为是可选:用户可提供飞书Bitable链接,代理将提取app_token并存储于config.json。这与可选Bitable集成一致,并未超出声明目的。
✓ 持久化与权限
always:false且未请求提升权限。技能仅在用户选择Bitable集成时写入自身config.json(正常行为)。允许自主调用(平台默认),但未结合广泛凭据访问或always:true,因此无额外权限顾虑。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/3/15
即兴话题练习+场景模拟+框架速查+自定义话题+进步追踪+每日Tips,语音优先,Whisper分析
● 可疑
安装命令
点击复制官方npx clawhub@latest install expression-coach
镜像加速npx clawhub@latest install expression-coach --registry https://cn.longxiaskill.com