中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 20/100
上次扫描:10 小时前 重新扫描
20 /100
employee-reminder-ops
Google Sheets驱动的员工提醒和特殊事件报告工作流,用于内部运营的生日提醒、每日管理报告、Telegram/Discord提醒路由
合法的内部员工提醒运营工具,通过 Google Sheets 和 Discord 实现自动化报告,无恶意行为但存在轻微文档-代码权限差异。
技能名称employee-reminder-ops
分析耗时48.1s
引擎pi
可以安装
建议补充 SKILL.md 中关于 execFileSync 调用 gog CLI 和状态文件读写的声明,其他方面安全可用。

安全发现 3 项

严重性 安全发现 位置
低危
外部 CLI 工具调用未声明 文档欺骗
SKILL.md 描述使用 Google Sheets API,但代码实际通过 execFileSync 调用外部 gog CLI 工具执行 sheets get 命令。gog 是开源的 Google Sheets CLI(Go Google Sheets)。
const out = execFileSync('gog', fullArgs, { encoding: 'utf8' });
→ 在 SKILL.md 的 Runtime requirements 或 deployment.md 中明确声明依赖 gog CLI
 scripts/plan-a-demo.js:40
低危
状态持久化未声明 文档欺骗
代码将已发送报告记录写入 .state/plan-a-state.json 用于去重,但 SKILL.md 未提及此本地状态管理行为。
fs.writeFileSync(CONFIG.stateFile, JSON.stringify(state, null, 2));
→ 在 SKILL.md 中补充说明使用 .state/ 目录存储运行状态
 scripts/plan-a-demo.js:55
提示
外部工具依赖无版本锁定 供应链
运行时依赖 gog CLI 和 Node.js 环境,但 SKILL.md 未指定版本要求或锁定机制。
Runtime requirements: Node.js, gog CLI + Google auth
→ 建议指定 Node.js 版本范围和 gog CLI 版本
 references/deployment.md:19
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 scripts/plan-a-demo.js:14-15 (stateDir/stateFile) + scripts/run-plan-a.sh:4 (sou…
命令执行 NONE READ ✓ 一致 scripts/plan-a-demo.js:40 (execFileSync 'gog')
网络访问 WRITE WRITE ✓ 一致 scripts/plan-a-demo.js:242 (Discord API POST) - SKILL.md 声明了 Discord/Telegram 路由
环境变量 NONE READ ✓ 一致 scripts/plan-a-demo.js:10-19 (process.env.* 读取)
3 项发现
🔗
中危 外部 URL 外部 URL
https://discord.com/api/v10/channels/$
scripts/plan-a-demo.js:242
📧
提示 邮箱 邮箱地址
[email protected]
references/PLAN_A_DEMO_USAGE.md:43
📧
提示 邮箱 邮箱地址
[email protected]
references/deployment.md:48

目录结构

12 文件 · 32.9 KB · 1220 行
Markdown 10f · 896L JavaScript 1f · 317L Shell 1f · 7L
├─ 📁 references
│ ├─ 📝 architecture.md Markdown 27L · 691 B
│ ├─ 📝 clawhub.md Markdown 33L · 568 B
│ ├─ 📝 deployment.md Markdown 79L · 1.7 KB
│ ├─ 📝 google-sheet-schema.md Markdown 32L · 601 B
│ ├─ 📝 macos.md Markdown 17L · 376 B
│ ├─ 📝 PLAN_A_DEMO_USAGE.md Markdown 116L · 2.9 KB
│ ├─ 📝 PLAN_A_TEST.md Markdown 470L · 10.8 KB
│ ├─ 📝 troubleshooting.md Markdown 21L · 676 B
│ └─ 📝 windows.md Markdown 21L · 531 B
├─ 📁 scripts
│ ├─ 📜 plan-a-demo.js JavaScript 317L · 11.6 KB
│ └─ 🔧 run-plan-a.sh Shell 7L · 144 B
└─ 📝 SKILL.md Markdown 80L · 2.4 KB

依赖分析 2 项

包名版本来源已知漏洞备注
gog unspecified external CLI Google Sheets CLI 工具,需单独安装,未在技能包内
Node.js unspecified runtime 仅使用内置模块 fs/child_process/path/fetch,无 npm 依赖

安全亮点

✓ 核心功能明确:员工生日/事件提醒 -> Google Sheets -> Discord 通知
✓ 无凭证收割或数据外泄行为
✓ 无 base64/eval/代码混淆
✓ 无远程脚本下载或执行
✓ 无敏感路径访问(~/.ssh、~/.aws、.env)
✓ 状态文件用于防重复发送的合理去重机制
✓ Discord API 调用符合声明的 Telegram/Discord 路由功能