Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
generate-drama
v1.0.0根据主题自动生成多角色有声短剧,调用 SenseAudio TTS API 合成音频并拼接输出
⭐ 0· 127·0 current·0 all-time
byWan Shuaibing@qwerty0205
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
high confidencePurpose & Capability
Skill 名称、描述、README、USAGE.md 和脚本都一致:根据用户主题生成剧本,然后调用 SenseAudio TTS 合成并拼接音频。包含的代码仅实现 TTS 调用和 WAV 拼接,与宣称目的匹配。
Instruction Scope
SKILL.md 明确要求检查并使用 SENSEAUDIO_API_KEY,并示例执行 echo "SENSEAUDIO_API_KEY=$SENSEAUDIO_API_KEY" —— 这会把敏感密钥写到 stdout/日志,存在泄露风险。指令还要求把 JSON 写到临时文件并运行本地脚本(合理),但打印或记录密钥是问题。
Install Mechanism
无安装规范(instruction-only + 提供脚本),不会从不明来源下载代码。唯一外部网络交互是脚本在运行时向 api.senseaudio.cn 发起 POST 请求,这是为 TTS 所必需的。
Credentials
Registry metadata lists no required env vars, but SKILL.md、README 和脚本 all require SENSEAUDIO_API_KEY. 这是一处不一致。另外,SKILL.md 建议把密钥写入 shell 配置并示例 echo 输出,会导致不必要的密钥暴露。
Persistence & Privilege
Skill 没有 always:true、没有修改其它技能或系统配置的行为。脚本在本地写输出和剧本 JSON(可控行为)。默认的自主调用权限为平台常态,不构成额外隐患。
What to consider before installing
本技能总体上看起来在做它声称的事(生成剧本并调用 SenseAudio 合成音频),但有两点需要你注意并在安装前确认:
1) 元数据不一致:Registry 条目没有声明任何必需环境变量,但 SKILL.md/README/脚本明确需要 SENSEAUDIO_API_KEY。请在安装前确认并要求发布者在元数据中添加该必需项。不要依赖隐含假设。
2) 不要打印或泄露你的 API 密钥:SKILL.md 中示例会 echo 出 SENSEAUDIO_API_KEY,这会把密钥写到控制台或日志,可能被其他进程或日志收集器读取。建议在使用时不要运行会打印密钥的命令;将密钥以环境变量传入脚本或在运行时通过安全的提示输入,并在需要时使用最小权限/临时密钥。
其他建议:
- 在受限环境(如容器或工作目录隔离)下先运行并审查输出、网络流量,确认请求确实都是发往 api.senseaudio.cn。
- 若担心数据外泄,可向作者要求提供 HTTPS 请求的示例返回或对敏感字段如何处理的说明;确认脚本不会把密钥写入磁盘或外发到除 SenseAudio 之外的域名。脚本当前只向 api.senseaudio.cn 发请求并将返回的 hex audio 转为 wav,这与目的相符,但仍建议审计网络请求。
- 要求作者修正 SKILL.md/registry 元数据以声明 SENSEAUDIO_API_KEY 为 required env var,并移除示例中打印密钥的做法。Like a lobster shell, security has layers — review code before you run it.
latestvk97f1tb9ra4dz25g34z169gf1h833dwh
License
MIT-0
Free to use, modify, and redistribute. No attribution required.