mailgo-campaign-suite 安全扫描报告 — 可信 | ClawSafe

0 /100

mailgo-campaign-suite

Complete cold email campaign suite for Mailgo

这是一个合法的冷邮件营销工具，代码行为与文档声明完全一致，无恶意行为、无阴影功能。

技能名称mailgo-campaign-suite

分析耗时37.2s

引擎pi

✓

可以安装

安全可用。该技能仅与 Mailgo API (api.leadsnavi.com) 通信，使用标准库 urllib，所有网络请求启用 SSL 证书验证。

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/*.py: read_emails_from_file()
网络访问	`READ/WRITE`	`READ/WRITE`	✓ 一致	所有脚本使用 urllib.request 调用 api.leadsnavi.com
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system/eval 调用
环境变量	`READ`	`READ`	✓ 一致	仅读取 MAILGO_API_KEY，无凭证遍历

15 项发现

🔗

中危外部 URL 外部 URL

https://app.mailgo.ai

README.md:16

🔗

中危外部 URL 外部 URL

https://www.leadsnavi.com

README.md:17

🔗

中危外部 URL 外部 URL

https://api.leadsnavi.com

README.md:37

🔗

中危外部 URL 外部 URL

https://app.mailgo.ai.

SKILL.md:297

🔗

中危外部 URL 外部 URL

https://app.leadsnavi.com/billing

scripts/verify_emails.py:219

📧

提示邮箱邮箱地址

[email protected]

README.md:75

📧

提示邮箱邮箱地址

[email protected]

README.md:82

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:157

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:157

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:157

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:297

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:309

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:555

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:722

📧

提示邮箱邮箱地址

[email protected]

scripts/run_campaign.py:7

目录结构

9 文件 · 122.3 KB · 3116 行

Python 5f · 1770L Markdown 4f · 1346L

├─ ▾ 📁 resources

│ ├─ 📝 industry-templates.md Markdown 297L · 15.1 KB

│ └─ 📝 spam-triggers.md Markdown 136L · 4.4 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 campaign_control.py Python 162L · 5.8 KB

│ ├─ 🐍 campaign_report.py Python 566L · 20.7 KB

│ ├─ 🐍 claim_free_mailbox.py Python 156L · 4.8 KB

│ ├─ 🐍 run_campaign.py Python 498L · 21.5 KB

│ └─ 🐍 verify_emails.py Python 388L · 13.2 KB

├─ 📝 README.md Markdown 113L · 5.3 KB

└─ 📝 SKILL.md Markdown 800L · 31.5 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`openpyxl`	`*`	pip	否	可选依赖，仅用于 .xlsx 文件支持

安全亮点

✓ 所有脚本使用 Python 标准库 (urllib, ssl, csv, json)，无第三方依赖（openpyxl 为可选）

✓ 所有网络请求启用 SSL 证书验证 (_ssl_ctx = ssl.create_default_context())

✓ 无 subprocess/os.system/eval 等 shell 执行调用

✓ 无凭证收割行为（仅读取 MAILGO_API_KEY）

✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无 base64/eval(atob()) 等可疑编码

✓ 无远程脚本下载执行 (curl|bash, wget|sh)

✓ 文档声明与实际代码行为完全一致

✓ 使用 ThreadPoolExecutor 并发读取回复内容属于正常功能