扫描报告
10 /100
email-suite (imap+smtp)
AI email agent with local caching for instant inbox checks. Read, search, send emails via IMAP/SMTP.
合法的 IMAP/SMTP 邮件工具,所有代码行为与文档声明一致,预扫描标记的 Base64 用于标准邮件主题解码,无恶意行为
可以安装
可直接使用,建议补充 SMTP 发送操作的权限声明
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | Base64 编码用于标准邮件解码 | scripts/imap.js:147 |
| 提示 | setup.sh 包含模板配置示例 | setup.sh:130 |
| 提示 | 硬编码 vendor 联系邮箱 | scripts/imap.js:19 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/imap.js:45 - .cache/ 目录用于缓存 |
| 网络访问 | READ | READ+WRITE | ✓ 一致 | scripts/smtp.js 发送邮件需要 WRITE,但 SKILL.md 未明确说明 |
| 命令执行 | NONE | NONE | — | 无 shell 执行代码 |
1 严重 10 项发现
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(text, 'base64' scripts/imap.js:147 中危 外部 URL 外部 URL
https://myaccount.google.com/apppasswords README.md:190 提示 邮箱 邮箱地址
[email protected] README.md:101 提示 邮箱 邮箱地址
[email protected] README.md:145 提示 邮箱 邮箱地址
[email protected] README.md:162 提示 邮箱 邮箱地址
[email protected] README.md:181 提示 邮箱 邮箱地址
[email protected] README.md:182 提示 邮箱 邮箱地址
[email protected] SKILL.md:38 提示 邮箱 邮箱地址
[email protected] SKILL.md:199 提示 邮箱 邮箱地址
[email protected] scripts/imap.js:19 目录结构
8 文件 · 61.3 KB · 2112 行 JavaScript 2f · 1387L
Markdown 3f · 491L
Shell 1f · 170L
JSON 1f · 36L
Text 1f · 28L
├─
▾
scripts
│ ├─
imap.js
JavaScript
│ └─
smtp.js
JavaScript
├─
CHANGELOG.md
Markdown
├─
env.txt
Text
├─
package.json
JSON
├─
README.md
Markdown
├─
setup.sh
Shell
└─
SKILL.md
Markdown
依赖分析 5 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
imapflow | ^1.2.10 | npm | 否 | IMAP 客户端库 |
nodemailer | ^7.0.13 | npm | 否 | SMTP 发送库 |
mailparser | ^3.9.3 | npm | 否 | 邮件解析库 |
marked | ^17.0.5 | npm | 否 | Markdown 转换 |
dotenv | ^16.6.1 | npm | 否 | 环境变量加载 |
安全亮点
✓ 所有 npm 依赖均为标准邮件处理库,无已知恶意代码
✓ 代码结构清晰,功能模块化
✓ setup.sh 包含安全警告和 chmod 600 .env 建议
✓ 支持 Gmail App Password 最佳实践
✓ 本地缓存仅存储元数据(subject, from, date),不缓存邮件正文内容
✓ 无 shell 执行、远程脚本下载、eval/动态代码执行
✓ 无凭证外传行为,所有 API 调用均为配置的邮件服务器