catfee-feishu-recorder Security Report — Low Risk | ClawSafe

15 /100

catfee-feishu-recorder

飞书群聊总结技能

飞书群聊总结技能，功能与文档一致，但存在硬编码凭证的安全隐患。

Skill Namecatfee-feishu-recorder

Duration27.2s

Enginepi

✓

Safe to install

将 App Secret 从硬编码改为环境变量注入，避免凭证泄露风险。

Findings 2 items

Severity	Finding	Location
Medium	硬编码飞书凭证 APP_SECRET 被硬编码在源代码中，任何能访问此代码的人都可以获取凭证 `APP_SECRET = "RTyN8J1AEIHGlKDmgvAhfgWMDVTC0aV1"` → 使用环境变量或配置文件管理凭证，如 os.environ.get('FEISHU_APP_SECRET')	`scripts/summarize.py:20`
Low	网络请求无超时设置 requests 调用未设置 timeout，在网络异常时可能无限等待 `resp = requests.post(AUTH_URL, json={...})` → 添加 timeout 参数，如 requests.post(AUTH_URL, json={...}, timeout=10)	`scripts/summarize.py:29`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/summarize.py:257 仅 sys.stdout 重定向
Network	`READ`	`READ`	✓ Aligned	scripts/summarize.py:28 仅调用飞书官方 API
Shell	`NONE`	`NONE`	—	无 subprocess、os.system 调用
Environment	`NONE`	`NONE`	—	无遍历 os.environ 行为
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作
Skill Invoke	`NONE`	`NONE`	—	无嵌套技能调用

4 findings

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

SKILL.md:42

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/docx/v1/documents

SKILL.md:82

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

scripts/summarize.py:19

🔗

Medium External URL 外部 URL

https://feishu.cn/docx/

scripts/summarize.py:202

2 files · 11.9 KB · 373 lines

Python 1f · 257L Markdown 1f · 116L

├─ ▾ 📁 scripts

│ └─ 🐍 summarize.py Python 257L · 8.7 KB

└─ 📝 SKILL.md Markdown 116L · 3.3 KB

Package	Version	Source	Known Vulns	Notes
`requests`	`未指定（*）`	pip	No	SKILL.md 声明了依赖但 scripts/summarize.py 未检查版本，建议添加 requests>=2.28.0

✓ 代码功能与 SKILL.md 文档完全一致，无影子功能

✓ 只调用飞书官方 API，无外部可疑网络请求

✓ 无 shell 执行、无敏感路径访问

✓ 无数据外泄行为