feishu-integration Security Report — Trusted | ClawSafe

15 /100

feishu-integration

飞书开放平台完整对接方案，支持文档管理、知识库操作、文件上传、Markdown导入、消息解析、OCR识别、群欢迎机器人等功能

飞书开放平台集成工具包，代码功能明确为 API 封装和消息处理，无恶意行为，但存在配置文件凭证明文存储的安全实践问题。

Skill Namefeishu-integration

Duration44.7s

Enginepi

✓

Safe to install

建议将 config/feishu.env 中的 FEISHU_APP_SECRET 移除出代码仓库，使用环境变量替代。代码本身功能正常，可正常使用。

Findings 2 items

Severity	Finding	Location
Medium	配置文件包含明文凭证 Sensitive Access config/feishu.env 文件中以明文形式存储了 FEISHU_APP_ID 和 FEISHU_APP_SECRET，这些敏感凭证不应提交到版本控制系统。 `FEISHU_APP_SECRET=LuSwVCJUMGppIiM8FBMWfcFtMuAIRzqh` → 将此文件添加到 .gitignore，使用环境变量或密钥管理服务存储凭证	`config/feishu.env:1`
Low	文档中示例凭证暴露 Doc Mismatch SKILL.md 文档示例中包含类似真实格式的 app_secret 示例值，可能造成误导。 `"app_secret": "YOUR_SECRET"` → 确保示例使用占位符而非真实格式的凭证	`SKILL.md:72`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	所有脚本仅通过 HTTPS 调用飞书官方 API
Filesystem	`NONE`	`READ`	✓ Aligned	仅读取本地配置文件和临时缓存文件
Shell	`NONE`	`WRITE`	✓ Aligned	group-welcome.py 调用 feishu-auth.sh 获取 token，属于工具正常调用

33 findings

🔗

Medium External URL 外部 URL

https://uniquecapital.feishu.cn/docx/BZTvd4SMSo6OzsxodHnckHh8nZb

CHANGELOG.md:91

🔗

Medium External URL 外部 URL

https://open.feishu.cn/document/

CHANGELOG.md:148

🔗

Medium External URL 外部 URL

https://docs.openclaw.ai/

CHANGELOG.md:149

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

SKILL.md:176

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/

SKILL.md:196

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/NEW_API_PATH

SKILL.md:291

🔗

Medium External URL 外部 URL

https://dotenvx.com

reference-feishu-common/package-lock.json:76

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages/$

reference-feishu-message/get.js:45

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/p2p_chats

reference-feishu-message/get_latest_file.js:38

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages?container_id_type=chat&container_id=$

reference-feishu-message/get_latest_file.js:53

🔗

Medium External URL 外部 URL

https://www.patreon.com/feross

reference-feishu-message/package-lock.json:475

🔗

Medium External URL 外部 URL

https://feross.org/support

reference-feishu-message/package-lock.json:479

🔗

Medium External URL 外部 URL

https://buymeacoffee.com/borewit

reference-feishu-message/package-lock.json:564

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/files

reference-feishu-message/send-audio.js:68

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages?receive_id_type=$

reference-feishu-message/send-audio.js:134

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/medias/upload_all

references/import-workflow.md:28

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/import_tasks

references/import-workflow.md:56

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/import_tasks/7605680347254590654

references/import-workflow.md:90

🔗

Medium External URL 外部 URL

https://moxunkeji.feishu.cn/docx/V4mYdLUc3oIAklxG1ducsbTQnKc

references/import-workflow.md:102

🔗

Medium External URL 外部 URL

https://open.feishu.cn/document/server-docs/im-v1/message/message-content

references/message-parsing.md:237

🔗

Medium External URL 外部 URL

https://open.feishu.cn/document/server-docs/ai/optical_char_recognition-v1/image/recognize_basic

references/message-parsing.md:238

🔗

Medium External URL 外部 URL

https://config-center/api/feishu/token

references/token-management.md:44

🔗

Medium External URL 外部 URL

https://open.feishu.cn

references/token-management.md:94

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/docx/v1/documents/$

scripts/feishu-api.sh:21

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/wiki/v2/spaces

scripts/feishu-api.sh:137

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/wiki/v2/spaces/$

scripts/feishu-api.sh:146

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/files

scripts/feishu-api.sh:172

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/files/upload_all

scripts/feishu-api.sh:190

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/drive/v1/import_tasks/$

scripts/feishu-api.sh:248

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis

scripts/feishu-message-parser.py:19

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/optical-char-recognition/v1/image/recognize_basic

scripts/feishu-ocr.py:41

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/chats/

scripts/group-welcome.py:317

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

scripts/group-welcome.py:459

File Tree

35 files · 149.4 KB · 5242 lines

Markdown 8f · 1384L JSON 6f · 1179L Python 3f · 1156L JavaScript 12f · 978L Shell 5f · 540L Env 1f · 5L

├─ ▾ 📁 config

│ └─ 📄 feishu.env Env 5L · 177 B

├─ ▾ 📁 examples

│ ├─ 🔧 ocr_image.sh Shell 21L · 346 B

│ ├─ 🔧 parse_rich_text.sh Shell 20L · 524 B

│ └─ 🔧 parse_text.sh Shell 20L · 350 B

├─ ▾ 📁 reference-feishu-common

│ ├─ 📋 _meta.json JSON 17L · 461 B

│ ├─ 📜 feishu-client.js JavaScript 1L · 40 B

│ ├─ 📜 index.js JavaScript 138L · 5.3 KB

│ ├─ 📋 package-lock.json JSON 308L · 10.4 KB

│ ├─ 📋 package.json JSON 15L · 367 B

│ └─ 📝 SKILL.md Markdown 29L · 750 B

├─ ▾ 📁 reference-feishu-message

│ ├─ 📋 _meta.json JSON 32L · 991 B

│ ├─ 📜 create_chat.js JavaScript 73L · 2.5 KB

│ ├─ 📜 disband_chat.js JavaScript 48L · 1.4 KB

│ ├─ 📜 get_chat_info.js JavaScript 45L · 1.1 KB

│ ├─ 📜 get_latest_file.js JavaScript 70L · 2.9 KB

│ ├─ 📜 get.js JavaScript 138L · 5.4 KB

│ ├─ 📜 index.js JavaScript 107L · 3.7 KB

│ ├─ 📜 list_pins_v2.js JavaScript 78L · 2.4 KB

│ ├─ 📜 list_pins.js JavaScript 81L · 2.2 KB

│ ├─ 📋 package-lock.json JSON 793L · 28.2 KB

│ ├─ 📋 package.json JSON 14L · 357 B

│ ├─ 📜 send-audio.js JavaScript 166L · 5.4 KB

│ ├─ 📜 send.js JavaScript 33L · 972 B

│ └─ 📝 SKILL.md Markdown 56L · 1.4 KB

├─ ▾ 📁 references

│ ├─ 📝 api-reference.md Markdown 243L · 4.4 KB

│ ├─ 📝 import-workflow.md Markdown 193L · 3.6 KB

│ ├─ 📝 message-parsing.md Markdown 246L · 5.2 KB

│ └─ 🔑 token-management.md ⚠ Markdown 141L · 2.8 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 feishu-api.sh Shell 380L · 10.1 KB

│ ├─ 🔧 feishu-auth.sh Shell 99L · 2.3 KB

│ ├─ 🐍 feishu-message-parser.py Python 271L · 9.0 KB

│ ├─ 🐍 feishu-ocr.py Python 76L · 1.9 KB

│ └─ 🐍 group-welcome.py Python 809L · 20.5 KB

├─ 📝 CHANGELOG.md Markdown 149L · 3.5 KB

└─ 📝 SKILL.md Markdown 327L · 8.7 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	Python 脚本使用 requests 库，无版本锁定
`axios`	`*`	npm	No	JavaScript 依赖，无版本锁定
`commander`	`*`	npm	No	CLI 参数解析库

Security Positives

✓ 代码结构清晰，功能与文档描述一致

✓ 仅使用飞书官方 API，无未声明的网络行为

✓ Token 缓存机制合理，包含过期前 60 秒刷新策略

✓ 消息解析器功能完整，支持富文本、图片、引用等多种消息类型

✓ 群欢迎机器人功能包含夜间模式和冷却机制，设计考虑周全

✓ 错误处理完善，包含重试机制和超时控制

Scan Report

Findings 2 items

File Tree

Dependencies 3 items

Security Positives