Name: email-suite Security Report — Trusted | ClawSafe
Item: email-suite
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

email-suite

IMAP/SMTP 邮件 CLI 工具，支持 Gmail, Outlook, Hostinger 及标准邮件服务器

email-suite 是一个合法的 IMAP/SMTP 邮件 CLI 工具，所有代码均为标准邮件处理功能，无恶意行为。预扫描标记的 Base64 使用是用于解码 MIME 编码的邮件主题（RFC 2047 标准），属于合法用途。

Skill Nameemail-suite

Duration41.3s

Enginepi

ClawHub email-suite (imap+smtp) v1.2.6 by rashed-mamoon

📥 137

ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration

✓

Safe to install

该技能可安全使用。无需额外操作。

Findings 2 items

Severity	Finding	Location
Low	依赖版本使用宽松锁定 Supply Chain package.json 使用 ^ 版本范围（如 ^16.6.1）而非精确版本，可能引入含有漏洞的依赖更新 `"dotenv": "^16.6.1"` → 考虑使用精确版本号（16.6.1）以提高可复现性和安全性	`package.json:18`
Info	Base64 解码用于标准 MIME subject 处理 Obfuscation 预扫描标记的 Buffer.from(text, 'base64') 是用于解码 RFC 2047 MIME 编码的邮件主题，属于合法 email 处理，不是代码混淆 `return Buffer.from(text, 'base64').toString('utf-8');` → 无需修改，这是 email subject 解码的标准做法	`scripts/utils/format.js:44`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明创建 .env 和 .cache/，代码实际创建这些文件
Network	`READ_WRITE`	`READ_WRITE`	✓ Aligned	SKILL.md 声明 IMAP/SMTP 连接，代码使用 imapflow/nodemailer 实现
Environment	`READ`	`READ`	✓ Aligned	通过 dotenv 读取 .env 中的 IMAP/SMTP 配置
Shell	`NONE`	`NONE`	—	仅 node scripts/mail.js 执行，无 shell 命令注入

1 Critical 10 findings

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

Buffer.from(text, 'base64'

scripts/utils/format.js:44

🔗

Medium External URL 外部 URL

https://myaccount.google.com/apppasswords

README.md:68

🔗

Medium External URL 外部 URL

https://nodejs.org/

setup.sh:23

📧

Info Email 邮箱地址

[email protected]

README.md:125

📧

Info Email 邮箱地址

[email protected]

README.md:164

📧

Info Email 邮箱地址

[email protected]

README.md:181

📧

Info Email 邮箱地址

[email protected]

README.md:200

📧

Info Email 邮箱地址

[email protected]

README.md:201

📧

Info Email 邮箱地址

[email protected]

SKILL.md:26

📧

Info Email 邮箱地址

[email protected]

env.example.txt:24

File Tree

13 files · 77.1 KB · 2490 lines

JavaScript 7f · 1707L Markdown 3f · 424L Shell 1f · 300L JSON 1f · 36L Text 1f · 23L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 utils

│ │ ├─ 📜 args.js JavaScript 30L · 623 B

│ │ ├─ 📜 env.js JavaScript 5L · 136 B

│ │ ├─ 📜 format.js JavaScript 139L · 4.1 KB

│ │ ├─ 📜 imap.js JavaScript 815L · 27.2 KB

│ │ ├─ 📜 index.js JavaScript 32L · 487 B

│ │ └─ 📜 smtp.js JavaScript 601L · 16.6 KB

│ └─ 📜 mail.js JavaScript 85L · 2.7 KB

├─ 📝 CHANGELOG.md Markdown 85L · 4.5 KB

├─ 📄 env.example.txt Text 23L · 622 B

├─ 📋 package.json JSON 36L · 895 B

├─ 📝 README.md Markdown 245L · 7.6 KB

├─ 🔧 setup.sh Shell 300L · 9.0 KB

└─ 📝 SKILL.md Markdown 94L · 2.8 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`dotenv`	`^16.6.1`	npm	No	环境变量加载库
`imapflow`	`^1.2.10`	npm	No	IMAP 客户端
`nodemailer`	`^7.0.13`	npm	No	SMTP 客户端
`mailparser`	`^3.9.3`	npm	No	邮件解析库
`marked`	`^17.0.5`	npm	No	Markdown 解析

Security Positives

✓ 代码结构清晰，所有功能与 SKILL.md 声明一致

✓ 无网络请求到非邮件服务器地址

✓ 无凭证外传行为，凭证仅存储在本地 .env

✓ 使用标准邮件库（imapflow, nodemailer, mailparser）

✓ setup.sh 安全提示用户使用 App Passwords 和 chmod 600 .env

✓ 无反分析技术、无隐藏指令、无凭证收割行为

Scan Report

Findings 2 items

File Tree

Dependencies 5 items

Security Positives