by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了阿里云TTS客户端,需要有效的阿里云凭据,但注册元数据未声明所需的环境变量,存在小的打包/指令不匹配,需谨慎。
评估建议
["该包看似是一个直接的阿里云TTS客户端(签名请求和获取音频),需要三个阿里云凭据(包括一个秘密)。","安装前:1) 注册元数据未声明所需的环境变量,预计提供ALIYUN_APP_KEY、ALIYUN_ACCESS_KEY_ID和ALIYUN_ACCESS_KEY_SECRET。2) 仓库包含aliyun_tts.py但没有安装器或二进制 shim,验证CLI如何安装/注册。3) 只提供最低权限的阿里云凭据(使用仅有NLS权限的IAM密钥)并避免重用高权限密钥。4) 确认信任技能所有者之前,在代理配置中存储ALIYUN_ACCESS_KEY_SECRET。5) 如果需要更高的保证,审查或在受控环境中运行Python脚本并检查网络目的地(nls-meta.<region>.aliyuncs.com和nls-gateway-<region>.aliyuncs.com)是否与阿里云域匹配。"]...详细分析 ▾
ℹ 用途与能力
代码和SKILL.md实现了阿里云TTS(签名、获取令牌、下载音频),与技能名称/描述一致。然而,注册元数据指出“所需环境变量:无”和“主要凭据:无”,而SKILL.md和脚本都需要ALIYUN_APP_KEY、ALIYUN_ACCESS_KEY_ID和ALIYUN_ACCESS_KEY_SECRET——元数据/包装不一致。
ℹ 指令范围
SKILL.md 指示配置三个ALIYUN_*环境变量并使用位于{baseDir}/bin/aliyun-tts的CLI。仓库提供了aliyun_tts.py(实际客户端),但未包含安装脚本或二进制 shim——使用指令假设存在一个不在场的包装CLI。指令不要求无关文件或秘密,网络调用仅限阿里云NLS端点。
✓ 安装机制
无安装规范(仅指令),包含一个Python脚本。未使用远程下载或提取,因此包本身无高风险安装机制。
ℹ 凭证需求
三个所需环境变量(应用密钥、访问密钥ID、访问密钥秘密)适用于阿里云TTS客户端。担忧是技能注册元数据未声明这些所需凭据——在实践中,技能将需要并消费一个敏感秘密(ALIYUN_ACCESS_KEY_SECRET),它将通过SKILL.md中的代理配置存储/管理。
✓ 持久化与权限
技能未标记always:true且可由用户调用;它不请求持久的系统范围更改或其他技能的凭据。无证据表明它修改了其他技能或全局代理设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/29
初始发布
● 无害
安装命令 点击复制
官方npx clawhub@latest install aliyun-tts
镜像加速npx clawhub@latest install aliyun-tts --registry https://cn.clawhub-mirror.com
技能文档
阿里云文本转语音(TTS)服务,用于将文本转换为自然语音,支持多种语音和格式,通过命令行或配置文件设置阿里云凭据进行使用。
配置
设置以下环境变量:ALIYUN_APP_KEY- 应用密钥ALIYUN_ACCESS_KEY_ID- 访问密钥IDALIYUN_ACCESS_KEY_SECRET- 访问密钥秘密(敏感)
选项1:CLI配置(推荐)
# 配置应用密钥
cławdbot skills config aliyun-tts ALIYUN_APP_KEY "你的应用密钥"
# 配置访问密钥ID
cławdbot skills config aliyun-tts ALIYUN_ACCESS_KEY_ID "你的访问密钥ID"
# 配置访问密钥秘密(敏感)
cławdbot skills config aliyun-tts ALIYUN_ACCESS_KEY_SECRET "你的访问密钥秘密"
选项2:手动配置
编辑~/.clawdbot/clawdbot.json:
{
"skills": {
"entries": {
"aliyun-tts": {
"env": {
"ALIYUN_APP_KEY": "你的应用密钥",
"ALIYUN_ACCESS_KEY_ID": "你的访问密钥ID",
"ALIYUN_ACCESS_KEY_SECRET": "你的访问密钥秘密"
}
}
}
}
}
使用
# 基本使用
{baseDir}/bin/aliyun-tts "Hello, this is Aliyun TTS"
# 指定输出文件
{baseDir}/bin/aliyun-tts -o /tmp/voice.mp3 "Hello"
# 指定语音
{baseDir}/bin/aliyun-tts -v siyue "使用 siyue 语音"
# 指定格式和采样率
{baseDir}/bin/aliyun-tts -f mp3 -r 16000 "音频参数"
选项
| 标志 | 描述 | 默认值 |
|---|---|---|
-o, --output | 输出文件路径 | tts.mp3 |
-v, --voice | 语音名称 | siyue |
-f, --format | 音频格式 | mp3 |
-r, --sample-rate | 采样率 | 16000 |
可用语音
常见语音:siyue、xiaoxuan、xiaoyun等。请参阅阿里云文档获取完整列表。聊天语音回复
当用户请求语音回复时:# 生成音频
{baseDir}/bin/aliyun-tts -o /tmp/voice-reply.mp3 "你的回复内容"
# 包含在你的响应中:
# MEDIA:/tmp/voice-reply.mp3
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制