中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:10 小时前 重新扫描
25 /100
qq-email
QQ邮箱智能管理工具,支持收发邮件、搜索筛选、附件处理及AI智能整理功能
QQ邮箱智能管理技能,代码质量良好无恶意行为,但文档中存在硬编码API密钥示例的文档安全问题。
技能名称qq-email
分析耗时56.9s
引擎pi
可以安装
移除文档中的API密钥示例,使用占位符替代;建议增加代码签名验证机制。

安全发现 2 项

严重性 安全发现 位置
中危
文档包含硬编码API密钥格式示例 文档欺骗
references/ai_organization.md 第151行包含 'sk-xxxxxxxxxxxxxxxxxxxxxxxx' 格式的API密钥示例,references/qq_email_setup.md 第61行包含配置示例,这可能误导用户或成为配置错误源。
export DASHSCOPE_API_KEY="sk-xxxxxxxxxxxxxxxxxxxxxxxx"
→ 使用纯占位符如 'your_api_key_here' 替代真实格式的密钥示例
 references/ai_organization.md:151
低危
dashscope SDK 无版本锁定 供应链
AI功能依赖的dashscope库未指定版本,可能引入供应链风险。
import dashscope
→ 建议添加 requirements.txt 并锁定 dashscope>=1.0.0
 scripts/ai_summarize.py:59
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/ai_summarize.py:157 用于写入JSON输出文件,符合SKILL.md声明的输出功能
网络访问 WRITE WRITE ✓ 一致 scripts/ai_summarize.py:64 通过dashscope调用阿里云API,符合AI功能声明
环境变量 READ READ ✓ 一致 多处使用os.getenv读取QQ_EMAIL、DASHSCOPE_API_KEY等配置,符合声明的环境变量配置方式
凭证 READ READ ✓ 一致 仅用于IMAP/SMTP认证和API调用认证,不外传,符合声明用途
1 严重 2 高危 8 项发现
🔑
严重 API 密钥 硬编码 API 密钥
sk-xxxxxxxxxxxxxxxxxxxxxxxx
references/ai_organization.md:151
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="sk-xxxxxxxxxxxxxxxxxxxxxxxx"
references/ai_organization.md:151
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_dashscope_api_key"
references/qq_email_setup.md:61
🔗
中危 外部 URL 外部 URL
https://bailian.console.aliyun.com/
references/ai_organization.md:145
🔗
中危 外部 URL 外部 URL
https://mail.qq.com
references/qq_email_setup.md:7
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:35
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:62
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:117

目录结构

14 文件 · 79.0 KB · 2626 行
Python 10f · 1876L Markdown 4f · 750L
├─ 📁 references
│ ├─ 📝 ai_organization.md Markdown 184L · 5.0 KB
│ ├─ 📝 api_reference.md Markdown 34L · 959 B
│ └─ 📝 qq_email_setup.md Markdown 182L · 3.8 KB
├─ 📁 scripts
│ ├─ 🐍 ai_classify.py Python 234L · 7.7 KB
│ ├─ 🐍 ai_extract_todos.py Python 277L · 8.9 KB
│ ├─ 🐍 ai_organize.py Python 208L · 7.3 KB
│ ├─ 🐍 ai_prioritize.py Python 237L · 7.4 KB
│ ├─ 🐍 ai_summarize.py Python 205L · 6.4 KB
│ ├─ 🐍 example.py Python 19L · 575 B
│ ├─ 🐍 fetch_emails.py Python 235L · 7.7 KB
│ ├─ 🐍 manage_email.py Python 125L · 4.5 KB
│ ├─ 🐍 search_emails.py Python 184L · 6.0 KB
│ └─ 🐍 send_email.py Python 152L · 4.7 KB
└─ 📝 SKILL.md Markdown 350L · 8.0 KB

依赖分析 3 项

包名版本来源已知漏洞备注
dashscope 未指定 pip AI功能依赖,无版本锁定,存在供应链风险
imaplib stdlib Python标准库 QQ邮箱IMAP访问
smtplib stdlib Python标准库 QQ邮箱SMTP发送

安全亮点

✓ 代码结构清晰,每个脚本职责单一
✓ 包含完整的错误处理和降级机制(如AI不可用时降级到规则引擎)
✓ SKILL.md文档详尽,声明与实现基本一致
✓ 凭证仅用于本地认证,不存在数据外泄
✓ 使用环境变量配置敏感信息,符合安全最佳实践
✓ 无恶意行为:无反向shell、无C2通信、无凭证收割外传