扫描报告
8 /100
baikexia
蜗牛公司百科虾知识库 Q&A 技能,解答公司制度、福利、流程、组织架构等问题
飞书知识库同步工具,代码为纯正的 Feishu API 调用,无任何恶意行为。credential 读取有文档-实现小偏差但不影响安全性。
可以安装
可直接使用。建议将 send-message.js 中的 config/app.json 引用改为 openclaw.json,与 SKILL.md 声明保持一致。
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 凭证配置来源文档-实现不一致 | scripts/send-message.js:12 |
| 提示 | 硬编码 Wiki Token 和 Space ID | scripts/sync.js:28 |
| 提示 | 无高危指标发现 | scripts/sync.js:1 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | SKILL.md:cache/ 目录说明;sync.js 写 content.json/metadata.json;send-message.js 读 conf… |
| 网络访问 | READ | READ | ✓ 一致 | sync.js 使用 https.request 访问 open.feishu.cn;send-message.js 使用 curl 访问 open.feish… |
| 命令执行 | WRITE | WRITE | ✓ 一致 | sync.js 和 send-message.js 均为 node 脚本,通过 node 命令执行,属正常 CLI 工具用法 |
| 环境变量 | NONE | NONE | — | 代码未读取 os.environ 敏感关键字,仅 sync.js 使用 os.homedir() 定位 openclaw.json 配置文件,属于合理用法 |
| 技能调用 | NONE | NONE | — | 无跨 skill 调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
3 项发现
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis scripts/send-message.js:18 中危 外部 URL 外部 URL
https://campsnail.feishu.cn/docx/$ scripts/sync.js:540 中危 外部 URL 外部 URL
https://campsnail.feishu.cn/wiki/$ scripts/sync.js:814 目录结构
3 文件 · 42.0 KB · 1248 行 JavaScript 2f · 1031L
Markdown 1f · 217L
├─
▾
scripts
│ ├─
send-message.js
JavaScript
│ └─
sync.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
node | 系统安装版本 | runtime | 否 | 仅使用 Node.js 内置模块(fs, path, https, crypto, os),无外部 npm 依赖 |
安全亮点
✓ 功能单一明确:纯 Feishu 知识库同步和消息发送,无多余能力
✓ 凭证管理规范:核心凭证通过 openclaw.json 管理,不在代码中明文存储 appSecret
✓ 网络通信安全:仅访问 open.feishu.cn 官方域名,使用 HTTPS,无外部可疑端点
✓ 无恶意行为:无凭证外传、无反向 shell、无数据窃取
✓ 代码质量良好:包含完整的错误处理、日志记录、增量同步机制