ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

小野语音系统

v1.0.0

基于双引擎策略的智能语音系统,支持中文本地Tingting语音和多语言Edge-TTS云端,输出高质量OGG音频,保障隐私。

0· 522·0 current·0 all-time
byryuichi Takano@jackytianjp
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
技能名、描述、SKILL.md 与 xiaoye_voice.py 实现一致:macOS 本地 say 用于中文,edge-tts 用于非中文,并使用 ffmpeg 做格式转换。没有要求与功能不相关的凭据或外部工具。
Instruction Scope
运行时指令局限于 TTS 流程(调用 say、edge-tts、ffmpeg、写入 ~/.openclaw/outputs)。SKILL.md 包含示例将生成文件通过 telegram-send 发送到 Telegram —— 这是集成示例,会将文件发送到用户配置的外部服务(仅在用户主动执行时发生)。
Install Mechanism
无安装脚本(instruction-only + 提供源码),requirements.txt 仅列出 edge-tts 作为可选依赖。没有从可疑 URL 下载或写入不寻常系统路径。
Credentials
不请求环境变量或凭据。Edge-TTS 会进行网络调用但不需要用户提供密钥;技能本身不收集或上传秘密。
Persistence & Privilege
没有设置 always:true,也不修改其他技能或全局代理配置。它会在用户主目录下创建 ~/.openclaw/outputs/xiaoye_voice 存放生成文件,这是与其功能相称的写入范围。
Assessment
这个技能看起来与其描述一致,但安装/运行前请注意: - 仅在 macOS 上能使用本地 say 中文引擎(技能要求 macOS 10.15+);确保系统中有所需的 Tingting 等语音。 - 需要 ffmpeg 用于格式转换(文档已提及);若未安装,转换会失败。 - 非中文文本会通过 edge-tts 模块走云端合成,产生网络流量并把文本发送到 Edge TTS 服务——如果你关心隐私,请注意非中文语料会离开本机。 - SKILL.md 给出将文件通过 telegram-send 上传的示例;只有在你主动运行该命令或集成时文件才会被发送,确保你的 telegram-send 配置和令牌安全。 - 代码使用 subprocess.run([...])(非 shell 模式)传递文本参数,降低了命令注入风险;但如果你要在不信任的环境中自动化处理任意用户输入,建议先对输入做额外过滤或限制。 总体建议:如果你使用 macOS 并接受 edge-tts 的云端合成行为,这个技能在设计上是自洽的;如对云端发送文本有顾虑,可禁用或避免生成非中文语音,或审阅/修改代码以记录/屏蔽网络调用。

Like a lobster shell, security has layers — review code before you run it.

latestvk977rmhcdxrnvjzyd6ms66nr0n81kka5

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments