feishu-media Security Report — Low Risk | ClawSafe

15 /100

feishu-media

飞书媒体文件发送skill，支持发送图片到飞书群或个人

飞书图片发送工具，代码功能清晰、凭证通过环境变量管理，无恶意行为，但文档未声明网络权限。

Skill Namefeishu-media

Duration29.1s

Enginepi

✓

Safe to install

建议在 SKILL.md 中明确声明 network:WRITE 权限，并将 requests 依赖版本锁定。

Findings 3 items

Severity	Finding	Location
Low	网络权限未声明 Priv Escalation 代码需要向飞书API服务器发起HTTPS POST请求，但SKILL.md未明确声明network:WRITE权限 `response = requests.post(url, headers=headers, json=data)` → 在SKILL.md的能力描述中增加'需要网络访问权限以调用飞书API'	`scripts/feishu_image.py:46`
Low	依赖无版本锁定 Supply Chain pip install requests 无版本约束，可能引入恶意或不稳定版本 `pip install requests` → 改为 'pip install requests>=2.28.0' 指定版本范围	`SKILL.md:12`
Info	JavaScript包装器引用不存在路径 Doc Mismatch send-image.js引用了外部库 '../../../feishu/src/media.js'，该路径在实际部署中可能不存在 `from '../../../feishu/src/media.js'` → 确认依赖路径或移除该文件	`scripts/send-image.js:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:47, scripts/feishu_image.py:83 open()
Network	`NONE`	`WRITE`	✗ Violation	scripts/feishu_image.py:46 requests.post() 到飞书API
Environment	`READ`	`READ`	✓ Aligned	SKILL.md:18-28, scripts/feishu_image.py:23-24
Shell	`NONE`	`NONE`	—	无subprocess调用

2 findings

🔗

Medium External URL 外部 URL

https://open.feishu.cn/

SKILL.md:73

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis

scripts/feishu_image.py:46

3 files · 7.6 KB · 283 lines

Python 1f · 134L Markdown 1f · 124L JavaScript 1f · 25L

├─ ▾ 📁 scripts

│ ├─ 🐍 feishu_image.py Python 134L · 3.9 KB

│ └─ 📜 send-image.js JavaScript 25L · 620 B

└─ 📝 SKILL.md Markdown 124L · 3.0 KB

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议指定最低版本

✓ 凭证管理规范：推荐使用环境变量，避免硬编码

✓ 凭证仅用于飞书API调用，无外泄行为

✓ 代码结构清晰，注释完整

✓ 无shell执行、无持久化操作

✓ 无数据外泄、无凭证收割行为