中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 10/100
Last scan:2 days ago Rescan
10 /100
email-suite (imap+smtp)
AI email agent with local caching for instant inbox checks. Read, search, send emails via IMAP/SMTP.
合法的 IMAP/SMTP 邮件工具,所有代码行为与文档声明一致,预扫描标记的 Base64 用于标准邮件主题解码,无恶意行为
Skill Nameemail-suite (imap+smtp)
Duration38.0s
Enginepi
Safe to install
可直接使用,建议补充 SMTP 发送操作的权限声明

Findings 3 items

Severity Finding Location
Low
Base64 编码用于标准邮件解码
预扫描标记的 Buffer.from('base64') 位于 imap.js:147 的 decodeSubject 函数,用于解码 MIME 编码的邮件主题(如 =?UTF-8?B?...?=),这是 RFC 2045 标准实践,不是混淆代码
Buffer.from(text, 'base64').toString('utf-8')
→ 可忽略,误报
 scripts/imap.js:147
Info
setup.sh 包含模板配置示例
setup.sh 末尾的 heredoc 包含占位符配置示例([email protected] 等),非真实凭证,注释明确说明是示例
# Example: imap.gmail.com, imap.office365.com
→ 可忽略,非敏感信息
 setup.sh:130
Info
硬编码 vendor 联系邮箱
imap.js:19 硬编码 [email protected] 作为 IMAP ID 的 support-email,vendor 标注为 netease,可能是开发者的企业邮箱
'support-email': '[email protected]'
→ 非安全风险,可能是正常配置
 scripts/imap.js:19
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned scripts/imap.js:45 - .cache/ 目录用于缓存
Network READ READ+WRITE ✓ Aligned scripts/smtp.js 发送邮件需要 WRITE,但 SKILL.md 未明确说明
Shell NONE NONE 无 shell 执行代码
1 Critical 10 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(text, 'base64'
scripts/imap.js:147
🔗
Medium External URL 外部 URL
https://myaccount.google.com/apppasswords
README.md:190
📧
Info Email 邮箱地址
[email protected]
README.md:101
📧
Info Email 邮箱地址
[email protected]
README.md:145
📧
Info Email 邮箱地址
[email protected]
README.md:162
📧
Info Email 邮箱地址
[email protected]
README.md:181
📧
Info Email 邮箱地址
[email protected]
README.md:182
📧
Info Email 邮箱地址
[email protected]
SKILL.md:38
📧
Info Email 邮箱地址
[email protected]
SKILL.md:199
📧
Info Email 邮箱地址
[email protected]
scripts/imap.js:19

File Tree

8 files · 61.3 KB · 2112 lines
JavaScript 2f · 1387L Markdown 3f · 491L Shell 1f · 170L JSON 1f · 36L Text 1f · 28L
├─ 📁 scripts
│ ├─ 📜 imap.js JavaScript 960L · 28.8 KB
│ └─ 📜 smtp.js JavaScript 427L · 11.9 KB
├─ 📝 CHANGELOG.md Markdown 30L · 1.3 KB
├─ 📄 env.txt Text 28L · 804 B
├─ 📋 package.json JSON 36L · 895 B
├─ 📝 README.md Markdown 216L · 6.7 KB
├─ 🔧 setup.sh Shell 170L · 4.3 KB
└─ 📝 SKILL.md Markdown 245L · 6.6 KB

Dependencies 5 items

PackageVersionSourceKnown VulnsNotes
imapflow ^1.2.10 npm No IMAP 客户端库
nodemailer ^7.0.13 npm No SMTP 发送库
mailparser ^3.9.3 npm No 邮件解析库
marked ^17.0.5 npm No Markdown 转换
dotenv ^16.6.1 npm No 环境变量加载

Security Positives

✓ 所有 npm 依赖均为标准邮件处理库,无已知恶意代码
✓ 代码结构清晰,功能模块化
✓ setup.sh 包含安全警告和 chmod 600 .env 建议
✓ 支持 Gmail App Password 最佳实践
✓ 本地缓存仅存储元数据(subject, from, date),不缓存邮件正文内容
✓ 无 shell 执行、远程脚本下载、eval/动态代码执行
✓ 无凭证外传行为,所有 API 调用均为配置的邮件服务器