feishu-send-image Security Report — Trusted | ClawSafe

5 /100

feishu-send-image

Send images directly in Feishu chat as native image messages

飞书图片发送技能，代码简单直接，仅调用官方 API 发送图片，无恶意行为。

Skill Namefeishu-send-image

Duration27.6s

Enginepi

✓

Safe to install

可直接使用。注意通过命令行传递凭证的潜在日志暴露风险，建议在安全环境中使用。

Findings 1 items

Severity	Finding	Location
Low	命令行凭证传递 Sensitive Access app_id 和 app_secret 通过 $3/$4 位置参数传入脚本，在某些系统上可能通过 ps aux 或 shell history 暴露。 `APP_ID="${3:?Missing app_id}" APP_SECRET="${4:?Missing app_secret}"` → 考虑从配置文件或环境变量读取凭证，避免命令行历史。	`scripts/feishu_send_image.sh:6`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 声明读取本地图片，脚本 line 1-5 验证参数
Network	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明调用飞书 API，脚本 line 21-49 实际调用 open.feishu.cn

3 findings

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

scripts/feishu_send_image.sh:21

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/images

scripts/feishu_send_image.sh:33

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages?receive_id_type=$RECEIVE_ID_TYPE

scripts/feishu_send_image.sh:46

3 files · 6.6 KB · 193 lines

Markdown 2f · 134L Shell 1f · 59L

├─ ▾ 📁 scripts

│ └─ 🔧 feishu_send_image.sh Shell 59L · 2.3 KB

├─ 📝 README.md Markdown 72L · 2.0 KB

└─ 📝 SKILL.md Markdown 62L · 2.2 KB

✓ 代码逻辑清晰简洁，无复杂或可疑逻辑

✓ 声明与实现完全一致，无阴影功能

✓ 仅调用官方飞书 API (open.feishu.cn)，无第三方不可信端点

✓ 使用 set -euo pipefail，错误处理良好

✓ 无 base64/eval 等混淆技术

✓ 无环境变量遍历或凭证收割行为

✓ 无持久化或后门机制