中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
feishu-send-image
Send images directly in Feishu chat as native image messages
飞书图片发送技能,代码简单直接,仅调用官方 API 发送图片,无恶意行为。
技能名称feishu-send-image
分析耗时27.6s
引擎pi
可以安装
可直接使用。注意通过命令行传递凭证的潜在日志暴露风险,建议在安全环境中使用。

安全发现 1 项

严重性 安全发现 位置
低危
命令行凭证传递 敏感访问
app_id 和 app_secret 通过 $3/$4 位置参数传入脚本,在某些系统上可能通过 ps aux 或 shell history 暴露。
APP_ID="${3:?Missing app_id}"
APP_SECRET="${4:?Missing app_secret}"
→ 考虑从配置文件或环境变量读取凭证,避免命令行历史。
 scripts/feishu_send_image.sh:6
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 SKILL.md 声明读取本地图片,脚本 line 1-5 验证参数
网络访问 WRITE WRITE ✓ 一致 SKILL.md 声明调用飞书 API,脚本 line 21-49 实际调用 open.feishu.cn
3 项发现
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal
scripts/feishu_send_image.sh:21
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/images
scripts/feishu_send_image.sh:33
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/messages?receive_id_type=$RECEIVE_ID_TYPE
scripts/feishu_send_image.sh:46

目录结构

3 文件 · 6.6 KB · 193 行
Markdown 2f · 134L Shell 1f · 59L
├─ 📁 scripts
│ └─ 🔧 feishu_send_image.sh Shell 59L · 2.3 KB
├─ 📝 README.md Markdown 72L · 2.0 KB
└─ 📝 SKILL.md Markdown 62L · 2.2 KB

安全亮点

✓ 代码逻辑清晰简洁,无复杂或可疑逻辑
✓ 声明与实现完全一致,无阴影功能
✓ 仅调用官方飞书 API (open.feishu.cn),无第三方不可信端点
✓ 使用 set -euo pipefail,错误处理良好
✓ 无 base64/eval 等混淆技术
✓ 无环境变量遍历或凭证收割行为
✓ 无持久化或后门机制