中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:1 天前 重新扫描
5 /100
feishu-message-download
从飞书消息中下载文件(视频、图片、文档等)到本地
A straightforward Feishu message file downloader that performs exactly as documented with no hidden functionality, credential exfiltration, or suspicious behavior.
技能名称feishu-message-download
分析耗时31.2s
引擎pi
可以安装
No action needed. The skill is safe to use.

安全发现 1 项

严重性 安全发现 位置
低危
requests version not strictly pinned 供应链
requirements.txt specifies 'requests>=2.28.0' without an upper bound. While not currently exploitable, a future compromised version of requests could be automatically installed.
requests>=2.28.0
→ Pin to a specific version or narrow range: requests>=2.28.0,<2.32.0
 requirements.txt:1
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 download.py:22 — requests.get/post to open.feishu.cn API endpoints
文件系统 WRITE WRITE ✓ 一致 download.py:284 — open(file_path, 'wb') for saving downloaded files
环境变量 READ READ ✓ 一致 download.py:48,59 — os.environ.get('FEISHU_APP_ID'/'FEISHU_APP_SECRET')
命令执行 NONE NONE No subprocess, os.system, or shell invocation found
技能调用 NONE NONE No cross-skill invocation found
7 项发现
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/im/xxx
README.md:62
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/document/ukTMukTMukTM/uEjNwUjLxYDM14SM2ATN
README.md:231
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/document/ukTMukTMukTM/uYjNwUjL2YDM14iN2ATN
README.md:232
🔗
中危 外部 URL 外部 URL
https://clawhub.ai/skills/feishu-message-download
README.md:234
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/messages/
SKILL.md:176
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis
download.py:22
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/im/xxx?...
download.py:161

目录结构

5 文件 · 30.1 KB · 1027 行
Markdown 2f · 530L Python 1f · 460L JSON 1f · 36L Text 1f · 1L
├─ 🐍 download.py Python 460L · 15.4 KB
├─ 📋 package.json JSON 36L · 783 B
├─ 📝 README.md Markdown 251L · 6.4 KB
├─ 📄 requirements.txt Text 1L · 17 B
└─ 📝 SKILL.md Markdown 279L · 7.5 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests >=2.28.0 pip Version not strictly pinned — only lower bound specified

安全亮点

✓ No shell execution (subprocess, os.system, eval, or shell=True)
✓ No credential exfiltration — app_id/app_secret used only for Feishu API authentication
✓ No obfuscation — all code is human-readable with no base64, eval, or dynamic execution
✓ No hidden functionality — SKILL.md accurately describes all capabilities
✓ No sensitive path access — only accesses ~/.openclaw/config.json for legitimate config loading
✓ All network requests go to the declared Feishu API endpoint (open.feishu.cn)
✓ File writes are scoped to user-specified output_dir with no arbitrary path traversal