扫描报告
10 /100
feishu-agent-mesh
飞书多机器人协作框架,将多个OpenClaw机器人接入同一飞书群聊实现任务分发和审批
飞书多机器人协作框架,代码行为与文档描述一致,无恶意行为发现
可以安装
可安全使用,建议验证飞书官方依赖版本保持更新
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 文档末尾包含代码片段 文档欺骗 | SKILL.md:88 |
| 提示 | 依赖版本未锁定 供应链 | scripts/README.md:12 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | 代码无fs模块导入,仅操作内存和飞书API |
| 网络访问 | READ | READ | ✓ 一致 | scripts/feishu-callback-server.js 仅与open.feishu.cn通信 |
| 命令执行 | NONE | NONE | — | 无subprocess/spawn调用,纯Express HTTP服务 |
| 环境变量 | NONE | READ | ✓ 一致 | 读取APP_ID等配置变量,符合声明的飞书集成需求 |
5 项发现
中危 外部 URL 外部 URL
https://relay.example.com/feishu/callback SKILL.md:51 中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal scripts/feishu-callback-server.js:33 中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bitable/v1/apps/$ scripts/feishu-callback-server.js:56 中危 外部 URL 外部 URL
https://xiaogua.example.com/tools/invoke scripts/relay-config.example.json:10 中危 外部 URL 外部 URL
https://xiaogu.example.com/tools/invoke scripts/relay-config.example.json:22 目录结构
10 文件 · 24.9 KB · 540 行 Markdown 7f · 298L
JSON 2f · 127L
JavaScript 1f · 115L
├─
▾
references
│ ├─
architecture.md
Markdown
│ ├─
deployment-checklist.md
Markdown
│ ├─
info-collection-template.md
Markdown
│ ├─
logging-schema.md
Markdown
│ └─
workflow-templates.md
Markdown
├─
▾
scripts
│ ├─
feishu-callback-server.js
JavaScript
│ ├─
README.md
Markdown
│ └─
relay-config.example.json
JSON
├─
▾
templates
│ └─
accounts.example.json
JSON
└─
SKILL.md
Markdown
依赖分析 4 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
express | * | npm | 否 | 无版本锁定,建议添加package.json |
body-parser | * | npm | 否 | 无版本锁定 |
node-fetch | * | npm | 否 | 无版本锁定,Node 18+可用内置fetch替代 |
crypto | builtin | Node.js built-in | 否 | 内置模块,无外部依赖 |
安全亮点
✓ 代码简洁,仅115行,无复杂逻辑
✓ 仅依赖4个标准Node.js模块:express、body-parser、node-fetch、crypto
✓ 仅与飞书官方域名(open.feishu.cn)通信,无第三方网络请求
✓ 解密逻辑使用AES-256-CBC标准加密,无自定义危险实现
✓ 代码与文档描述功能一致,无阴影功能
✓ 日志仅写入飞书多维表格,无数据外传
✓ 无文件写入、无凭证存储、无环境变量遍历