qq-email Security Report — Low Risk | ClawSafe

25 /100

qq-email

QQ邮箱智能管理工具，支持收发邮件、搜索筛选、附件处理及AI智能整理功能

QQ邮箱智能管理技能，代码质量良好无恶意行为，但文档中存在硬编码API密钥示例的文档安全问题。

Skill Nameqq-email

Duration56.9s

Enginepi

✓

Safe to install

移除文档中的API密钥示例，使用占位符替代；建议增加代码签名验证机制。

Findings 2 items

Severity	Finding	Location
Medium	文档包含硬编码API密钥格式示例 Doc Mismatch references/ai_organization.md 第151行包含 'sk-xxxxxxxxxxxxxxxxxxxxxxxx' 格式的API密钥示例，references/qq_email_setup.md 第61行包含配置示例，这可能误导用户或成为配置错误源。 `export DASHSCOPE_API_KEY="sk-xxxxxxxxxxxxxxxxxxxxxxxx"` → 使用纯占位符如 'your_api_key_here' 替代真实格式的密钥示例	`references/ai_organization.md:151`
Low	dashscope SDK 无版本锁定 Supply Chain AI功能依赖的dashscope库未指定版本，可能引入供应链风险。 `import dashscope` → 建议添加 requirements.txt 并锁定 dashscope>=1.0.0	`scripts/ai_summarize.py:59`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/ai_summarize.py:157 用于写入JSON输出文件，符合SKILL.md声明的输出功能
Network	`WRITE`	`WRITE`	✓ Aligned	scripts/ai_summarize.py:64 通过dashscope调用阿里云API，符合AI功能声明
Environment	`READ`	`READ`	✓ Aligned	多处使用os.getenv读取QQ_EMAIL、DASHSCOPE_API_KEY等配置，符合声明的环境变量配置方式
credential	`READ`	`READ`	✓ Aligned	仅用于IMAP/SMTP认证和API调用认证，不外传，符合声明用途

1 Critical 2 High 8 findings

🔑

Critical API Key 硬编码 API 密钥

sk-xxxxxxxxxxxxxxxxxxxxxxxx

references/ai_organization.md:151

🔑

High API Key 疑似硬编码凭证

API_KEY="sk-xxxxxxxxxxxxxxxxxxxxxxxx"

references/ai_organization.md:151

🔑

High API Key 疑似硬编码凭证

API_KEY="your_dashscope_api_key"

references/qq_email_setup.md:61

🔗

Medium External URL 外部 URL

https://bailian.console.aliyun.com/

references/ai_organization.md:145

🔗

Medium External URL 外部 URL

https://mail.qq.com

references/qq_email_setup.md:7

📧

Info Email 邮箱地址

[email protected]

SKILL.md:35

📧

Info Email 邮箱地址

[email protected]

SKILL.md:62

📧

Info Email 邮箱地址

[email protected]

SKILL.md:117

File Tree

14 files · 79.0 KB · 2626 lines

Python 10f · 1876L Markdown 4f · 750L

├─ ▾ 📁 references

│ ├─ 📝 ai_organization.md Markdown 184L · 5.0 KB

│ ├─ 📝 api_reference.md Markdown 34L · 959 B

│ └─ 📝 qq_email_setup.md Markdown 182L · 3.8 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 ai_classify.py Python 234L · 7.7 KB

│ ├─ 🐍 ai_extract_todos.py Python 277L · 8.9 KB

│ ├─ 🐍 ai_organize.py Python 208L · 7.3 KB

│ ├─ 🐍 ai_prioritize.py Python 237L · 7.4 KB

│ ├─ 🐍 ai_summarize.py Python 205L · 6.4 KB

│ ├─ 🐍 example.py Python 19L · 575 B

│ ├─ 🐍 fetch_emails.py Python 235L · 7.7 KB

│ ├─ 🐍 manage_email.py Python 125L · 4.5 KB

│ ├─ 🐍 search_emails.py Python 184L · 6.0 KB

│ └─ 🐍 send_email.py Python 152L · 4.7 KB

└─ 📝 SKILL.md Markdown 350L · 8.0 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`dashscope`	`未指定`	pip	No	AI功能依赖，无版本锁定，存在供应链风险
`imaplib`	`stdlib`	Python标准库	No	QQ邮箱IMAP访问
`smtplib`	`stdlib`	Python标准库	No	QQ邮箱SMTP发送

Security Positives

✓ 代码结构清晰，每个脚本职责单一

✓ 包含完整的错误处理和降级机制（如AI不可用时降级到规则引擎）

✓ SKILL.md文档详尽，声明与实现基本一致

✓ 凭证仅用于本地认证，不存在数据外泄

✓ 使用环境变量配置敏感信息，符合安全最佳实践

✓ 无恶意行为：无反向shell、无C2通信、无凭证收割外传

Scan Report

Findings 2 items

File Tree

Dependencies 3 items

Security Positives