by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和指令与有声书创建工具一致——获取网页内容、清理/分块文本、调用 TTS 提供商——但省略了一些声明(依赖项和可选 API 密钥),并执行网络和文件操作,使用前应审查。
评估建议
该技能似乎能实现其功能,但安装前请审查以下几点:(1) 它会获取任意网页 URL 并将文本发送到第三方 TTS API——避免向其提供内部/私有 URL,并保护您提供的任何 API 密钥。(2) SKILL.md 假设使用 Python 运行时和 requests/gTTS 等库,但技能元数据未声明依赖项;确保您的环境有所需的包。(3) 临时音频文件写入 /tmp;如果有影响,请检查存储/清理策略。(4) 确认您有权将目标内容转换为音频(版权/条款)。如果您计划提供 ELEVENLABS_API_KEY 或 OPENAI_API_KEY,请将其视为机密,仅在信任执行技能的环境时才提供。...详细分析 ▾
✓ 用途与能力
名称/描述(从网页内容/文本文件创建有声书)与指令一致:获取网页、清理/分块文本、调用 ElevenLabs/OpenAI/gTTS 进行 TTS。外部 API 调用和临时文件使用符合此用途。
ℹ 指令范围
指令包括通过 subprocess 运行 curl 获取任意 URL、剥离 HTML、写入 /tmp 块文件,以及将文本发送到外部 TTS 端点。这些行为符合所述目的,但确实涉及网络访问、临时文件 I/O 以及将潜在敏感文本发送到第三方 TTS 服务——SKILL.md 并未指示扫描本地敏感文件,但获取任意 URL 的能力如果被滥用可能会访问内部资源。
✓ 安装机制
这是一个仅包含指令的技能,没有安装规范或代码文件,因此安装程序不会向磁盘写入任何内容。这降低了供应链风险。但是,代码片段假设存在运行时库(requests、gTTS 等可能还有其他)和 Python 运行时;该技能未声明这些依赖项。
ℹ 凭证需求
SKILL.md 检查 ELEVENLABS_API_KEY 和 OPENAI_API_KEY 并在存在时使用它们,这对于支持多个 TTS 提供商是合理的。然而,技能元数据未列出所需的环境变量或主要凭据——轻微不一致。未请求无关的凭据。
✓ 持久化与权限
always:false 且没有安装操作存在。该技能不请求持久的系统级权限或修改其他技能的配置。它在操作期间将临时音频块写入 /tmp,这对于此任务是正常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/15
从 all-task-skills-dedup 批量发布
● 可疑
安装命令
点击复制官方npx clawhub@latest install pg-essay-to-audiobook-audiobook
镜像加速npx clawhub@latest install pg-essay-to-audiobook-audiobook --registry https://cn.longxiaskill.com镜像同步中
技能文档
未提供 SKILL.md 文档内容,请提供后再进行翻译。