feishu-media 安全扫描报告 — 低风险 | ClawSafe

15 /100

feishu-media

飞书媒体文件发送skill，支持发送图片到飞书群或个人

飞书图片发送工具，代码功能清晰、凭证通过环境变量管理，无恶意行为，但文档未声明网络权限。

技能名称feishu-media

分析耗时29.1s

引擎pi

✓

可以安装

建议在 SKILL.md 中明确声明 network:WRITE 权限，并将 requests 依赖版本锁定。

安全发现 3 项

严重性	安全发现	位置
低危	网络权限未声明权限提升代码需要向飞书API服务器发起HTTPS POST请求，但SKILL.md未明确声明network:WRITE权限 `response = requests.post(url, headers=headers, json=data)` → 在SKILL.md的能力描述中增加'需要网络访问权限以调用飞书API'	`scripts/feishu_image.py:46`
低危	依赖无版本锁定供应链 pip install requests 无版本约束，可能引入恶意或不稳定版本 `pip install requests` → 改为 'pip install requests>=2.28.0' 指定版本范围	`SKILL.md:12`
提示	JavaScript包装器引用不存在路径文档欺骗 send-image.js引用了外部库 '../../../feishu/src/media.js'，该路径在实际部署中可能不存在 `from '../../../feishu/src/media.js'` → 确认依赖路径或移除该文件	`scripts/send-image.js:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:47, scripts/feishu_image.py:83 open()
网络访问	`NONE`	`WRITE`	✗ 越权	scripts/feishu_image.py:46 requests.post() 到飞书API
环境变量	`READ`	`READ`	✓ 一致	SKILL.md:18-28, scripts/feishu_image.py:23-24
命令执行	`NONE`	`NONE`	—	无subprocess调用

2 项发现

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/

SKILL.md:73

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis

scripts/feishu_image.py:46

3 文件 · 7.6 KB · 283 行

Python 1f · 134L Markdown 1f · 124L JavaScript 1f · 25L

├─ ▾ 📁 scripts

│ ├─ 🐍 feishu_image.py Python 134L · 3.9 KB

│ └─ 📜 send-image.js JavaScript 25L · 620 B

└─ 📝 SKILL.md Markdown 124L · 3.0 KB

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议指定最低版本

✓ 凭证管理规范：推荐使用环境变量，避免硬编码

✓ 凭证仅用于飞书API调用，无外泄行为

✓ 代码结构清晰，注释完整

✓ 无shell执行、无持久化操作

✓ 无数据外泄、无凭证收割行为