📦 AsrTranscribe
v1.0.0通过 SkillBoss API Hub 使用多语言自动语音识别,将来自 URL 或本地文件的音频转为文本。
0· 17·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
medium confidence该 skill 通过外部 SkillBoss/HeyBoss API 实现 ASR,基本符合其声明用途,但存在打包不一致及域名/元数据不匹配问题,安装或提供 API key 前需谨慎。
评估建议
安装前需检查:
- 核对提供方域名与仓库:SKILL.md 要求到 skillbossai.com 注册,而脚本与 manifest 使用 heybossai.com / api.heybossai.com。确认哪个域名合法,并确保 API key 发往预期服务。
- 确认 manifest 确实将 SKILLBOSS_API_KEY 列为必需环境变量;顶层元数据遗漏了它。在证实前,将此差异视为打包错误。
- 理解数据流向:你提供的任何 URL(或本地文件)会被下载/读取并以 base64 JSON 上传至外部 API。勿发送敏感音频,除非你信任该服务及其隐私条款。
- 确保环境具备脚本调用的 CLI 工具(curl、base64、mktemp)。该 skill 未声明所需二进制文件。
- 先用非敏感音频和一次性 API key 测试。如可能,用最小权限或限时 key 做初测。
- 若需更高保障,访问 manifest 中 'repository' URL 的仓库,并联系提供方确认正确注册域名与 API 端点。鉴于域名/元数据不一致,务必先验证提供方、API k...详细分析 ▾
ℹ 用途与能力
脚本、SKILL.md 和 manifest 一致实现了一个 ASR 客户端,将音频上传至外部 API(https://api.heybossai.com)。然而,提供给您的顶层注册元数据遗漏了必需的环境变量,并声明“无需环境变量”。README/manifest/README 作者文本引用的是 “heybossai.com”,而 SKILL.md 却指引在 “skillbossai.com” 注册——域名不一致,未作解释。
✓ 指令范围
运行时指令与附带脚本的作用域非常有限:它们仅负责下载 URL 或读取本地文件,将音频 base64 编码,然后携带 SKILLBOSS_API_KEY 将其 POST 到 API 端点。指令不会指示代理读取其他文件、访问其他网络端点,或读取除 API 密钥外的其他环境变量。注意:代理会下载任意 URL 并将其内容传输给第三方服务。
✓ 安装机制
没有安装规范,skill 以一个小型 shell 脚本和文档形式分发。安装时不会进行外部下载或解压。这是一种低风险的安装机制,但打包的脚本会在安装 skill bundle 时被写入磁盘。
⚠ 凭证需求
在运行层面,该技能仅需一个 API key(SKILLBOSS_API_KEY),与声明用途相符。然而,注册表元数据却显示“所需环境变量:无”及“主凭证:无”,而 manifest 与 SKILL.md 明确要求 SKILLBOSS_API_KEY——这一不一致令人担忧。此外,SKILL.md 与脚本分别指向 skillbossai.com 与 heybossai.com 两个不同域名,增加了配置错误或凭证泄露至错误服务的风险。
✓ 持久化与权限
该技能未标记为 always:true,也未请求提升或持久的系统权限。它不会修改其他技能或系统级设置。允许自主调用(平台默认),但这本身并非警示信号。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
- ASR(Automatic Speech Recognition)skill 的首次发布。 - 支持 100 种语言的快速、精准语音转文字,并自动检测语言。 - 可接受 URL 或本地文件作为输入进行转录。 - 仅需将 SkillBoss API Key 设为环境变量即可完成配置。 - 附带即用 shell 脚本,可快速转录,并提供多种使用示例。 - 返回 JSON 格式转录结果;若缺少 API Key,将返回清晰错误提示。
● 可疑
安装命令
点击复制官方npx clawhub@latest install jx-asr
镜像加速npx clawhub@latest install jx-asr --registry https://cn.longxiaskill.com