baikexia Security Report — Trusted | ClawSafe

8 /100

baikexia

蜗牛公司百科虾知识库 Q&A 技能，解答公司制度、福利、流程、组织架构等问题

飞书知识库同步工具，代码为纯正的 Feishu API 调用，无任何恶意行为。credential 读取有文档-实现小偏差但不影响安全性。

Skill Namebaikexia

Duration42.5s

Enginepi

✓

Safe to install

可直接使用。建议将 send-message.js 中的 config/app.json 引用改为 openclaw.json，与 SKILL.md 声明保持一致。

Findings 3 items

Severity	Finding	Location
Low	凭证配置来源文档-实现不一致 SKILL.md 声明凭证统一存储在 openclaw.json，但 send-message.js 从 config/app.json 读取凭证。sync.js 正确使用 openclaw.json。此不一致可能导致 send-message.js 运行时找不到配置文件而失败，但非安全问题。 `const config = JSON.parse(fs.readFileSync(CONFIG_FILE, 'utf8'));` → 将 send-message.js 的凭证读取方式改为与 sync.js 一致，从 openclaw.json 读取，与 SKILL.md 声明对齐。	`scripts/send-message.js:12`
Info	硬编码 Wiki Token 和 Space ID sync.js 中 WIKI_TOKEN 和 SPACE_ID 为常量，直接指向蜗牛公司飞书知识库。这属于知识库定位参数，非敏感凭证（无写权限），仅用于读取公司内部文档。 `const WIKI_TOKEN = 'VGRRw7s4BiStank4GnpczxnGn44'; const SPACE_ID = '7077748012209946625';` → 可考虑将硬编码改为从 openclaw.json 读取，提高配置灵活性，但当前实现安全可用。	`scripts/sync.js:28`
Info	无高危指标发现扫描全部代码，未发现 base64\|bash 管道、裸 IP 请求、eval()、环境变量遍历、远程脚本执行、pip install、HTML 隐藏指令、敏感路径访问（~/.ssh、~/.aws、.env）等高危指标。 `#!/usr/bin/env node` → 无需行动。	`scripts/sync.js:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	SKILL.md:cache/ 目录说明；sync.js 写 content.json/metadata.json；send-message.js 读 conf…
Network	`READ`	`READ`	✓ Aligned	sync.js 使用 https.request 访问 open.feishu.cn；send-message.js 使用 curl 访问 open.feish…
Shell	`WRITE`	`WRITE`	✓ Aligned	sync.js 和 send-message.js 均为 node 脚本，通过 node 命令执行，属正常 CLI 工具用法
Environment	`NONE`	`NONE`	—	代码未读取 os.environ 敏感关键字，仅 sync.js 使用 os.homedir() 定位 openclaw.json 配置文件，属于合理用法
Skill Invoke	`NONE`	`NONE`	—	无跨 skill 调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

3 findings

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis

scripts/send-message.js:18

🔗

Medium External URL 外部 URL

https://campsnail.feishu.cn/docx/$

scripts/sync.js:540

🔗

Medium External URL 外部 URL

https://campsnail.feishu.cn/wiki/$

scripts/sync.js:814

3 files · 42.0 KB · 1248 lines

JavaScript 2f · 1031L Markdown 1f · 217L

├─ ▾ 📁 scripts

│ ├─ 📜 send-message.js JavaScript 198L · 6.1 KB

│ └─ 📜 sync.js JavaScript 833L · 29.8 KB

└─ 📝 SKILL.md Markdown 217L · 6.1 KB

Package	Version	Source	Known Vulns	Notes
`node`	`系统安装版本`	runtime	No	仅使用 Node.js 内置模块（fs, path, https, crypto, os），无外部 npm 依赖

✓ 功能单一明确：纯 Feishu 知识库同步和消息发送，无多余能力

✓ 凭证管理规范：核心凭证通过 openclaw.json 管理，不在代码中明文存储 appSecret

✓ 网络通信安全：仅访问 open.feishu.cn 官方域名，使用 HTTPS，无外部可疑端点

✓ 无恶意行为：无凭证外传、无反向 shell、无数据窃取

✓ 代码质量良好：包含完整的错误处理、日志记录、增量同步机制