Skill Trust Decision
飞书机器人配置助手
飞书机器人配置助手存在多处高危安全风险:文档中明确记录了curl|bash远程脚本执行命令(严重供应链攻击向量),且代码中存在未在SKILL.md中声明的shell执行能力(exec调用),同时依赖外部GitHub仓库形成完整的攻击链。
Most direct threat evidence
Critical Supply Chain
文档中记录curl|bash远程脚本执行命令 SKILL.md第29行明确展示了curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash命令。这是业界公认的高危反模式,用户直接复制执行会将完整的远程脚本在特权模式下执行,攻击者可随时修改远程脚本内容进行供应链投毒。
SKILL.md:29 Why this conclusion was reached
3/4 dimensions flagged Block
Declared vs actual capability
4 undeclared or violating capabilities were inferred.
Block
Hidden execution and egress
1 high-risk artifacts or egress signals were extracted.
Block
Attack chain and severe findings
The report includes 5 attack-chain steps and 4 severe findings.
Pass
Dependencies and supply chain hygiene
Dependencies are present but no obvious high-risk issue stands out.
Attack Chain
01
用户通过AI Agent执行技能,AI读取SKILL.md中记录的命令
Entry · SKILL.md:29
02
AI向用户展示curl|bash安装命令,用户在shell中执行
delivery · SKILL.md:29
03
install.sh从GitHub克隆仓库并执行npm install,在用户机器上安装完整依赖
exploitation · install.sh:20
04
auto-configure-bot.js通过exec()执行shell命令,创建目录并重启Gateway
privilege_escalation · scripts/auto-configure-bot.js:152
05
攻击者可通过修改GitHub仓库内容,在用户下次安装时注入恶意代码(供应链投毒)
Impact · install.sh:20
What drove the risk score up
文档中记录curl|bash远程脚本执行 +25
SKILL.md:29 明确记录 curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash,这是经典的供应链攻击向量
未声明的shell执行能力 +20
scripts/auto-configure-bot.js:1 使用 require('child_process'),调用exec()执行shell命令,但SKILL.md中完全没有提及shell执行权限需求
外部GitHub依赖供应链风险 +20
install.sh:20 执行 git clone https://github.com/jiebao360/feishu-bot-config-helper.git,完整依赖外部不可控仓库
文档与实际能力不匹配 +15
SKILL.md声明'NONE'权限但实际使用filesystem:WRITE(读写openclaw.json)和shell:WRITE(exec命令执行)
npm install无版本控制 +8
install.sh:26 执行 npm install,无 --save-exact 或 package-lock.json 验证,存在依赖替换风险
处理敏感凭证 +8
脚本解析并存储App ID和App Secret到配置文件,凭证处理流程未在文档中披露
Most important evidence
Critical Supply Chain
文档中记录curl|bash远程脚本执行命令
SKILL.md第29行明确展示了curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash命令。这是业界公认的高危反模式,用户直接复制执行会将完整的远程脚本在特权模式下执行,攻击者可随时修改远程脚本内容进行供应链投毒。
SKILL.md:29 移除文档中的curl|bash命令,改为提供本地安装脚本或明确警告用户勿直接执行
High Priv Escalation
未声明的shell执行能力
scripts/auto-configure-bot.js导入并使用了child_process模块,通过exec()执行mkdir和openclaw gateway restart命令,但SKILL.md完全没有声明需要shell:WRITE权限,违反了文档与实现一致性原则。
scripts/auto-configure-bot.js:1 在SKILL.md的allowed-tools中明确声明Bash工具的使用场景和必要性
High Supply Chain
安装脚本依赖外部GitHub仓库
install.sh执行git clone从github.com/jiebao360/feishu-bot-config-helper拉取完整代码库。该仓库不受技能维护者控制,存在仓库被接管、代码被篡改的供应链攻击风险。
install.sh:20 将安装方式改为发布npm包或本地打包,避免动态拉取外部代码
High Supply Chain
npm install无依赖版本锁定
install.sh第26行执行npm install但没有任何版本锁定参数,可能导致依赖被恶意包替换(依赖混淆攻击或域名抢注)。package.json中所有依赖版本均为*。
install.sh:26 使用npm ci替代npm install,并确保package-lock.json被提交到仓库
Medium Doc Mismatch
SKILL.md未声明实际使用的资源权限
该技能的SKILL.md声称使用飞书机器人自动配置功能,但完全没有声明所需的filesystem:WRITE(读写openclaw.json)、shell:WRITE(执行mkdir/restart)和environment:READ(读取HOME路径)权限。
SKILL.md:1 补充完整的allowed-tools声明,包括Bash、Read、Write等工具及其使用场景
Medium Sensitive Access
敏感凭证处理未在文档中披露
脚本会解析用户的App ID和App Secret并写入~/.openclaw/openclaw.json,这些敏感凭证的处理逻辑完全没有在SKILL.md中披露,用户无法评估凭证是否被安全处理或可能被日志记录。
scripts/auto-configure-bot.js:45 在文档中明确说明凭证的存储方式、是否经过加密、是否可能被日志记录
Declared capability vs actual capability
Shell Block
Declared NONE
→ Inferred WRITE
scripts/auto-configure-bot.js:1 'const { exec } = require('child_process')' - 未在SKILL.md中声明 Filesystem Block
Declared NONE
→ Inferred WRITE
scripts/auto-configure-bot.js:158 writeFileSync写入~/.openclaw/openclaw.json,SKILL.md未声明filesystem权限 Environment Block
Declared NONE
→ Inferred READ
scripts/auto-configure-bot.js:13 读取 process.env.HOME 用于路径构造,未声明 Network Block
Declared NONE
→ Inferred READ
install.sh:20 git clone外部仓库形成网络依赖,SKILL.md仅描述功能但未披露外部依赖 Suspicious artifacts and egress
Critical Dangerous Command
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash SKILL.md:29
Medium External URL
https://docs.openclaw.ai README.md:256
Medium External URL
https://open.feishu.cn/ README.md:257
Dependencies and supply chain
| Package | Version | Source | Known vuln | Notes |
|---|---|---|---|---|
| child_process | built-in | Node.js | No | Node.js内置模块,用于shell命令执行 |
| fs | built-in | Node.js | No | Node.js内置模块,用于文件读写 |
File composition
6 files · 897 lines
JavaScript 1 files · 442 linesMarkdown 3 files · 399 linesShell 1 files · 38 linesJSON 1 files · 18 lines
Files of concern · 4
scripts/auto-configure-bot.js 未声明的shell执行能力 · 敏感凭证处理未在文档中披露
README.md https://docs.openclaw.ai · https://open.feishu.cn/
SKILL.md 文档中记录curl|bash远程脚本执行命令 · SKILL.md未声明实际使用的资源权限 · curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
install.sh 安装脚本依赖外部GitHub仓库 · npm install无依赖版本锁定
Other files · CHANGELOG.md · package.json
Security positives
代码逻辑清晰可见,无明显的base64编码或代码混淆
没有发现硬编码的外部IP地址或C2通信地址
没有发现凭证外泄到第三方服务的行为
脚本功能与文档描述的功能基本一致(自动配置飞书机器人)
使用了MIT开源许可证,代码可审查
没有发现持久化后门或定时任务注册代码