feishu-mcp Security Report — Suspicious | ClawSafe

55 /100

feishu-mcp

飞书 MCP (Model Context Protocol) 集成技能，用于 AI Agent 与飞书云文档操作

飞书MCP集成技能文档中存在硬编码凭证泄露（appSecret明文暴露），可能引导用户将敏感信息写入配置文件，存在凭证外泄风险

Skill Namefeishu-mcp

Duration36.6s

Enginepi

⚠

Use with caution

删除 SKILL.md 中的硬编码凭证，使用环境变量替代；不要引导用户在配置文件中存储明文 appSecret；添加凭证安全使用警告

Findings 3 items

Severity	Finding	Location
Critical	硬编码凭证泄露 appSecret 'BiL8CymBwxiA998MXxvUKbN23RhPsxAg' 和 appID 'cli_a926728f3e38dcba' 以明文形式直接写在 SKILL.md 公开文档中，任何获取此技能的用户都能查看和复制这些凭证 `"appSecret": "BiL8CymBwxiA998MXxvUKbN23RhPsxAg"` → 从文档中删除所有硬编码凭证，改用占位符如 '<YOUR_APP_SECRET>' 并添加获取方式的说明	`SKILL.md:22`
High	引导用户写入明文凭证 SKILL.md 指导用户将 appSecret 直接写入配置文件 ~/.openclaw/openclaw.json，这种做法增加了凭证泄露风险 `"appSecret": "BiL8CymBwxiA998MXxvUKbN23RhPsxAg"` → 建议使用环境变量读取凭证，而非直接在配置文件中明文存储	`SKILL.md:21`
Medium	缺少凭证安全警告文档未包含任何关于凭证保管安全性的警告或最佳实践说明 `配置说明中缺少安全提示` → 添加安全警告：此配置文件应妥善保管，避免提交到版本控制系统	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	SKILL.md 仅包含配置说明文档，无文件读写代码
Network	`READ`	`READ`	✓ Aligned	文档说明 MCP 工具使用飞书 OpenAPI 进行文档操作
Shell	`NONE`	`NONE`	—	无 shell 命令执行代码

2 findings

🔗

Medium External URL 外部 URL

https://feishu-openai-mcp-proxy.bytedance.net/mcp

SKILL.md:21

🔗

Medium External URL 外部 URL

https://xxx.feishu.cn/docx/ABC123def

SKILL.md:121

1 files · 2.2 KB · 126 lines

Markdown 1f · 126L

└─ 📝 SKILL.md Markdown 126L · 2.2 KB

✓ 技能结构简单，仅为配置文档，无执行代码

✓ 无 shell 命令执行能力

✓ 无网络请求发起代码

✓ 无文件系统写入操作代码

✓ 无环境变量遍历或凭证收割行为