中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 20/100
Last scan:10 hr ago Rescan
20 /100
employee-reminder-ops
Google Sheets驱动的员工提醒和特殊事件报告工作流,用于内部运营的生日提醒、每日管理报告、Telegram/Discord提醒路由
合法的内部员工提醒运营工具,通过 Google Sheets 和 Discord 实现自动化报告,无恶意行为但存在轻微文档-代码权限差异。
Skill Nameemployee-reminder-ops
Duration48.1s
Enginepi
Safe to install
建议补充 SKILL.md 中关于 execFileSync 调用 gog CLI 和状态文件读写的声明,其他方面安全可用。

Findings 3 items

Severity Finding Location
Low
外部 CLI 工具调用未声明 Doc Mismatch
SKILL.md 描述使用 Google Sheets API,但代码实际通过 execFileSync 调用外部 gog CLI 工具执行 sheets get 命令。gog 是开源的 Google Sheets CLI(Go Google Sheets)。
const out = execFileSync('gog', fullArgs, { encoding: 'utf8' });
→ 在 SKILL.md 的 Runtime requirements 或 deployment.md 中明确声明依赖 gog CLI
 scripts/plan-a-demo.js:40
Low
状态持久化未声明 Doc Mismatch
代码将已发送报告记录写入 .state/plan-a-state.json 用于去重,但 SKILL.md 未提及此本地状态管理行为。
fs.writeFileSync(CONFIG.stateFile, JSON.stringify(state, null, 2));
→ 在 SKILL.md 中补充说明使用 .state/ 目录存储运行状态
 scripts/plan-a-demo.js:55
Info
外部工具依赖无版本锁定 Supply Chain
运行时依赖 gog CLI 和 Node.js 环境,但 SKILL.md 未指定版本要求或锁定机制。
Runtime requirements: Node.js, gog CLI + Google auth
→ 建议指定 Node.js 版本范围和 gog CLI 版本
 references/deployment.md:19
ResourceDeclaredInferredStatusEvidence
Filesystem NONE WRITE ✓ Aligned scripts/plan-a-demo.js:14-15 (stateDir/stateFile) + scripts/run-plan-a.sh:4 (sou…
Shell NONE READ ✓ Aligned scripts/plan-a-demo.js:40 (execFileSync 'gog')
Network WRITE WRITE ✓ Aligned scripts/plan-a-demo.js:242 (Discord API POST) - SKILL.md 声明了 Discord/Telegram 路由
Environment NONE READ ✓ Aligned scripts/plan-a-demo.js:10-19 (process.env.* 读取)
3 findings
🔗
Medium External URL 外部 URL
https://discord.com/api/v10/channels/$
scripts/plan-a-demo.js:242
📧
Info Email 邮箱地址
[email protected]
references/PLAN_A_DEMO_USAGE.md:43
📧
Info Email 邮箱地址
[email protected]
references/deployment.md:48

File Tree

12 files · 32.9 KB · 1220 lines
Markdown 10f · 896L JavaScript 1f · 317L Shell 1f · 7L
├─ 📁 references
│ ├─ 📝 architecture.md Markdown 27L · 691 B
│ ├─ 📝 clawhub.md Markdown 33L · 568 B
│ ├─ 📝 deployment.md Markdown 79L · 1.7 KB
│ ├─ 📝 google-sheet-schema.md Markdown 32L · 601 B
│ ├─ 📝 macos.md Markdown 17L · 376 B
│ ├─ 📝 PLAN_A_DEMO_USAGE.md Markdown 116L · 2.9 KB
│ ├─ 📝 PLAN_A_TEST.md Markdown 470L · 10.8 KB
│ ├─ 📝 troubleshooting.md Markdown 21L · 676 B
│ └─ 📝 windows.md Markdown 21L · 531 B
├─ 📁 scripts
│ ├─ 📜 plan-a-demo.js JavaScript 317L · 11.6 KB
│ └─ 🔧 run-plan-a.sh Shell 7L · 144 B
└─ 📝 SKILL.md Markdown 80L · 2.4 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
gog unspecified external CLI No Google Sheets CLI 工具,需单独安装,未在技能包内
Node.js unspecified runtime No 仅使用内置模块 fs/child_process/path/fetch,无 npm 依赖

Security Positives

✓ 核心功能明确:员工生日/事件提醒 -> Google Sheets -> Discord 通知
✓ 无凭证收割或数据外泄行为
✓ 无 base64/eval/代码混淆
✓ 无远程脚本下载或执行
✓ 无敏感路径访问(~/.ssh、~/.aws、.env)
✓ 状态文件用于防重复发送的合理去重机制
✓ Discord API 调用符合声明的 Telegram/Discord 路由功能