catfee-feishu-recorder 安全扫描报告 — 低风险 | ClawSafe

15 /100

catfee-feishu-recorder

飞书群聊总结技能

飞书群聊总结技能，功能与文档一致，但存在硬编码凭证的安全隐患。

技能名称catfee-feishu-recorder

分析耗时27.2s

引擎pi

✓

可以安装

将 App Secret 从硬编码改为环境变量注入，避免凭证泄露风险。

安全发现 2 项

严重性	安全发现	位置
中危	硬编码飞书凭证 APP_SECRET 被硬编码在源代码中，任何能访问此代码的人都可以获取凭证 `APP_SECRET = "RTyN8J1AEIHGlKDmgvAhfgWMDVTC0aV1"` → 使用环境变量或配置文件管理凭证，如 os.environ.get('FEISHU_APP_SECRET')	`scripts/summarize.py:20`
低危	网络请求无超时设置 requests 调用未设置 timeout，在网络异常时可能无限等待 `resp = requests.post(AUTH_URL, json={...})` → 添加 timeout 参数，如 requests.post(AUTH_URL, json={...}, timeout=10)	`scripts/summarize.py:29`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/summarize.py:257 仅 sys.stdout 重定向
网络访问	`READ`	`READ`	✓ 一致	scripts/summarize.py:28 仅调用飞书官方 API
命令执行	`NONE`	`NONE`	—	无 subprocess、os.system 调用
环境变量	`NONE`	`NONE`	—	无遍历 os.environ 行为
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器自动化
数据库	`NONE`	`NONE`	—	无数据库操作
技能调用	`NONE`	`NONE`	—	无嵌套技能调用

4 项发现

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

SKILL.md:42

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/docx/v1/documents

SKILL.md:82

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

scripts/summarize.py:19

🔗

中危外部 URL 外部 URL

https://feishu.cn/docx/

scripts/summarize.py:202

2 文件 · 11.9 KB · 373 行

Python 1f · 257L Markdown 1f · 116L

├─ ▾ 📁 scripts

│ └─ 🐍 summarize.py Python 257L · 8.7 KB

└─ 📝 SKILL.md Markdown 116L · 3.3 KB

包名	版本	来源	已知漏洞	备注
`requests`	`未指定（*）`	pip	否	SKILL.md 声明了依赖但 scripts/summarize.py 未检查版本，建议添加 requests>=2.28.0

✓ 代码功能与 SKILL.md 文档完全一致，无影子功能

✓ 只调用飞书官方 API，无外部可疑网络请求

✓ 无 shell 执行、无敏感路径访问

✓ 无数据外泄行为