Name: email-suite 安全扫描报告 — 可信 | ClawSafe
Item: email-suite
Rating: 95
Author: ClawSafe

5 /100

email-suite

IMAP/SMTP 邮件 CLI 工具，支持 Gmail, Outlook, Hostinger 及标准邮件服务器

email-suite 是一个合法的 IMAP/SMTP 邮件 CLI 工具，所有代码均为标准邮件处理功能，无恶意行为。预扫描标记的 Base64 使用是用于解码 MIME 编码的邮件主题（RFC 2047 标准），属于合法用途。

技能名称email-suite

分析耗时41.3s

引擎pi

ClawHub email-suite (imap+smtp) v1.2.6 by rashed-mamoon

📥 137

ClawHub 判定可疑 env_credential_accessllm_suspiciouspotential_exfiltration

✓

可以安装

该技能可安全使用。无需额外操作。

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本使用宽松锁定供应链 package.json 使用 ^ 版本范围（如 ^16.6.1）而非精确版本，可能引入含有漏洞的依赖更新 `"dotenv": "^16.6.1"` → 考虑使用精确版本号（16.6.1）以提高可复现性和安全性	`package.json:18`
提示	Base64 解码用于标准 MIME subject 处理代码混淆预扫描标记的 Buffer.from(text, 'base64') 是用于解码 RFC 2047 MIME 编码的邮件主题，属于合法 email 处理，不是代码混淆 `return Buffer.from(text, 'base64').toString('utf-8');` → 无需修改，这是 email subject 解码的标准做法	`scripts/utils/format.js:44`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md 声明创建 .env 和 .cache/，代码实际创建这些文件
网络访问	`READ_WRITE`	`READ_WRITE`	✓ 一致	SKILL.md 声明 IMAP/SMTP 连接，代码使用 imapflow/nodemailer 实现
环境变量	`READ`	`READ`	✓ 一致	通过 dotenv 读取 .env 中的 IMAP/SMTP 配置
命令执行	`NONE`	`NONE`	—	仅 node scripts/mail.js 执行，无 shell 命令注入

1 严重 10 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(text, 'base64'

scripts/utils/format.js:44

🔗

中危外部 URL 外部 URL

https://myaccount.google.com/apppasswords

README.md:68

🔗

中危外部 URL 外部 URL

https://nodejs.org/

setup.sh:23

📧

提示邮箱邮箱地址

[email protected]

README.md:125

📧

提示邮箱邮箱地址

[email protected]

README.md:164

📧

提示邮箱邮箱地址

[email protected]

README.md:181

📧

提示邮箱邮箱地址

[email protected]

README.md:200

📧

提示邮箱邮箱地址

[email protected]

README.md:201

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:26

📧

提示邮箱邮箱地址

[email protected]

env.example.txt:24

目录结构

13 文件 · 77.1 KB · 2490 行

JavaScript 7f · 1707L Markdown 3f · 424L Shell 1f · 300L JSON 1f · 36L Text 1f · 23L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 utils

│ │ ├─ 📜 args.js JavaScript 30L · 623 B

│ │ ├─ 📜 env.js JavaScript 5L · 136 B

│ │ ├─ 📜 format.js JavaScript 139L · 4.1 KB

│ │ ├─ 📜 imap.js JavaScript 815L · 27.2 KB

│ │ ├─ 📜 index.js JavaScript 32L · 487 B

│ │ └─ 📜 smtp.js JavaScript 601L · 16.6 KB

│ └─ 📜 mail.js JavaScript 85L · 2.7 KB

├─ 📝 CHANGELOG.md Markdown 85L · 4.5 KB

├─ 📄 env.example.txt Text 23L · 622 B

├─ 📋 package.json JSON 36L · 895 B

├─ 📝 README.md Markdown 245L · 7.6 KB

├─ 🔧 setup.sh Shell 300L · 9.0 KB

└─ 📝 SKILL.md Markdown 94L · 2.8 KB

依赖分析 5 项

包名	版本	来源	已知漏洞	备注
`dotenv`	`^16.6.1`	npm	否	环境变量加载库
`imapflow`	`^1.2.10`	npm	否	IMAP 客户端
`nodemailer`	`^7.0.13`	npm	否	SMTP 客户端
`mailparser`	`^3.9.3`	npm	否	邮件解析库
`marked`	`^17.0.5`	npm	否	Markdown 解析

安全亮点

✓ 代码结构清晰，所有功能与 SKILL.md 声明一致

✓ 无网络请求到非邮件服务器地址

✓ 无凭证外传行为，凭证仅存储在本地 .env

✓ 使用标准邮件库（imapflow, nodemailer, mailparser）

✓ setup.sh 安全提示用户使用 App Passwords 和 chmod 600 .env

✓ 无反分析技术、无隐藏指令、无凭证收割行为