中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
feishu-weekly-generator
飞书周报生成器,自动收集git提交并生成格式化周报
飞书周报生成工具,代码简单清晰,仅使用Node.js内置模块执行git日志提取和本地文件读写,无网络请求、无凭证访问、无恶意行为。
技能名称feishu-weekly-generator
分析耗时31.6s
引擎pi
ClawHub Feishu Weekly Report Generator v1.0.0 by jiahui220
📥 181
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
该技能可直接使用,无需额外安全限制。

安全发现 1 项

严重性 安全发现 位置
提示
文档功能超出实际实现 文档欺骗
SKILL.md 'Feishu Integration' 章节提到'使用Feishu API直接创建文档(需要飞书机器人token)',但 scripts/generate-weekly.mjs 中无任何飞书API调用代码,仅输出本地Markdown文件。这属于功能承诺性描述偏差,不构成安全威胁。
Or use Feishu API to directly create document (requires Feishu bot token).
→ 更新文档与实际实现对齐,或补充飞书API集成代码。
 SKILL.md:47
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 scripts/generate-weekly.mjs:7-8 使用 readFileSync 读取模板, writeFileSync 输出报告
命令执行 READ READ ✓ 一致 scripts/generate-weekly.mjs:7 仅用 execSync 执行 git log 提取提交记录,用法最小化
网络访问 NONE NONE 全代码无 fetch/axios/http 模块调用,无任何网络行为
环境变量 NONE NONE 代码未访问 process.env,无凭证收割
技能调用 NONE NONE 无子技能调用

目录结构

7 文件 · 13.9 KB · 655 行
JavaScript 1f · 320L Markdown 5f · 313L JSON 1f · 22L
├─ 📁 references
│ └─ 📁 templates
│ ├─ 📝 detailed.md Markdown 79L · 910 B
│ ├─ 📝 minimal.md Markdown 17L · 201 B
│ └─ 📝 standard.md Markdown 44L · 449 B
├─ 📁 scripts
│ └─ 📜 generate-weekly.mjs JavaScript 320L · 8.2 KB
├─ 📋 package.json JSON 22L · 476 B
├─ 📝 SKILL.md Markdown 103L · 2.8 KB
└─ 📝 weekly-report-2026-03-13.md Markdown 70L · 939 B

安全亮点

✓ 仅使用Node.js内置模块,无任何第三方依赖,不存在供应链风险
✓ execSync 仅用于 git log 提取,用途单一且在文档中声明
✓ 无网络请求,完全本地运行,无数据外泄风险
✓ 无环境变量遍历,无凭证收割行为
✓ 无Base64/eval/代码混淆,代码可读性高
✓ 无访问敏感路径(~/.ssh、~/.aws、.env等)
✓ 无持久化机制或后门植入
✓ 输出文件路径完全由用户可控参数指定,无路径遍历风险