feishu-agent-mesh Security Report — Trusted | ClawSafe

10 /100

feishu-agent-mesh

飞书多机器人协作框架，将多个OpenClaw机器人接入同一飞书群聊实现任务分发和审批

飞书多机器人协作框架，代码行为与文档描述一致，无恶意行为发现

Skill Namefeishu-agent-mesh

Duration42.2s

Enginepi

✓

Safe to install

可安全使用，建议验证飞书官方依赖版本保持更新

Findings 2 items

Severity	Finding	Location
Low	文档末尾包含代码片段 Doc Mismatch SKILL.md末尾混入JS代码注释，与纯文档格式不一致，但为无害的示例代码 `// Minimal Feishu callback handler...` → 将示例代码移至scripts/README.md或单独文件，保持SKILL.md纯文档格式	`SKILL.md:88`
Info	依赖版本未锁定 Supply Chain scripts/README.md中npm install未指定版本，可能拉取最新版本 `npm install express body-parser node-fetch crypto` → 建议使用package.json锁定版本，或至少使用^前缀版本控制	`scripts/README.md:12`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	代码无fs模块导入，仅操作内存和飞书API
Network	`READ`	`READ`	✓ Aligned	scripts/feishu-callback-server.js 仅与open.feishu.cn通信
Shell	`NONE`	`NONE`	—	无subprocess/spawn调用，纯Express HTTP服务
Environment	`NONE`	`READ`	✓ Aligned	读取APP_ID等配置变量，符合声明的飞书集成需求

5 findings

🔗

Medium External URL 外部 URL

https://relay.example.com/feishu/callback

SKILL.md:51

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

scripts/feishu-callback-server.js:33

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/bitable/v1/apps/$

scripts/feishu-callback-server.js:56

🔗

Medium External URL 外部 URL

https://xiaogua.example.com/tools/invoke

scripts/relay-config.example.json:10

🔗

Medium External URL 外部 URL

https://xiaogu.example.com/tools/invoke

scripts/relay-config.example.json:22

File Tree

10 files · 24.9 KB · 540 lines

Markdown 7f · 298L JSON 2f · 127L JavaScript 1f · 115L

├─ ▾ 📁 references

│ ├─ 📝 architecture.md Markdown 45L · 2.2 KB

│ ├─ 📝 deployment-checklist.md Markdown 40L · 2.1 KB

│ ├─ 📝 info-collection-template.md Markdown 15L · 1.2 KB

│ ├─ 📝 logging-schema.md Markdown 47L · 2.0 KB

│ └─ 📝 workflow-templates.md Markdown 39L · 2.1 KB

├─ ▾ 📁 scripts

│ ├─ 📜 feishu-callback-server.js JavaScript 115L · 3.8 KB

│ ├─ 📝 README.md Markdown 24L · 845 B

│ └─ 📋 relay-config.example.json JSON 65L · 1.5 KB

├─ ▾ 📁 templates

│ └─ 📋 accounts.example.json JSON 62L · 1.6 KB

└─ 📝 SKILL.md Markdown 88L · 7.6 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`express`	`*`	npm	No	无版本锁定，建议添加package.json
`body-parser`	`*`	npm	No	无版本锁定
`node-fetch`	`*`	npm	No	无版本锁定，Node 18+可用内置fetch替代
`crypto`	`builtin`	Node.js built-in	No	内置模块，无外部依赖

Security Positives

✓ 代码简洁，仅115行，无复杂逻辑

✓ 仅依赖4个标准Node.js模块：express、body-parser、node-fetch、crypto

✓ 仅与飞书官方域名(open.feishu.cn)通信，无第三方网络请求

✓ 解密逻辑使用AES-256-CBC标准加密，无自定义危险实现

✓ 代码与文档描述功能一致，无阴影功能

✓ 日志仅写入飞书多维表格，无数据外传

✓ 无文件写入、无凭证存储、无环境变量遍历

Scan Report

Findings 2 items

File Tree

Dependencies 4 items

Security Positives