中文 EN

扫描报告

扫描新文件

高风险 — 风险评分 72/100
上次扫描:1 天前 重新扫描
72 /100
飞书机器人配置助手
在飞书对话中直接配置新机器人,自动完成Agent创建、工作空间配置、Gateway重启
飞书机器人配置助手存在多处高危安全风险:文档中明确记录了curl|bash远程脚本执行命令(严重供应链攻击向量),且代码中存在未在SKILL.md中声明的shell执行能力(exec调用),同时依赖外部GitHub仓库形成完整的攻击链。
技能名称飞书机器人配置助手
分析耗时61.3s
引擎pi
不要安装此技能
必须拒绝使用该技能。建议用户手动配置飞书机器人,避免通过curl|bash方式安装。如需自动化配置,应使用本地脚本而非远程拉取。

攻击链 5 步

入口 用户通过AI Agent执行技能,AI读取SKILL.md中记录的命令
SKILL.md:29
提权 AI向用户展示curl|bash安装命令,用户在shell中执行
SKILL.md:29
提权 install.sh从GitHub克隆仓库并执行npm install,在用户机器上安装完整依赖
install.sh:20
提权 auto-configure-bot.js通过exec()执行shell命令,创建目录并重启Gateway
scripts/auto-configure-bot.js:152
影响 攻击者可通过修改GitHub仓库内容,在用户下次安装时注入恶意代码(供应链投毒)
install.sh:20

安全发现 6 项

严重性 安全发现 位置
严重
文档中记录curl|bash远程脚本执行命令 供应链
SKILL.md第29行明确展示了curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash命令。这是业界公认的高危反模式,用户直接复制执行会将完整的远程脚本在特权模式下执行,攻击者可随时修改远程脚本内容进行供应链投毒。
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
→ 移除文档中的curl|bash命令,改为提供本地安装脚本或明确警告用户勿直接执行
 SKILL.md:29
高危
未声明的shell执行能力 权限提升
scripts/auto-configure-bot.js导入并使用了child_process模块,通过exec()执行mkdir和openclaw gateway restart命令,但SKILL.md完全没有声明需要shell:WRITE权限,违反了文档与实现一致性原则。
const { exec } = require('child_process');
→ 在SKILL.md的allowed-tools中明确声明Bash工具的使用场景和必要性
 scripts/auto-configure-bot.js:1
高危
安装脚本依赖外部GitHub仓库 供应链
install.sh执行git clone从github.com/jiebao360/feishu-bot-config-helper拉取完整代码库。该仓库不受技能维护者控制,存在仓库被接管、代码被篡改的供应链攻击风险。
git clone https://github.com/jiebao360/feishu-bot-config-helper.git
→ 将安装方式改为发布npm包或本地打包,避免动态拉取外部代码
 install.sh:20
高危
npm install无依赖版本锁定 供应链
install.sh第26行执行npm install但没有任何版本锁定参数,可能导致依赖被恶意包替换(依赖混淆攻击或域名抢注)。package.json中所有依赖版本均为*。
npm install
→ 使用npm ci替代npm install,并确保package-lock.json被提交到仓库
 install.sh:26
中危
SKILL.md未声明实际使用的资源权限 文档欺骗
该技能的SKILL.md声称使用飞书机器人自动配置功能,但完全没有声明所需的filesystem:WRITE(读写openclaw.json)、shell:WRITE(执行mkdir/restart)和environment:READ(读取HOME路径)权限。
核心能力:飞书机器人自动配置、智能Agent匹配、自动更新openclaw.json、自动重启Gateway - 均未声明所需权限
→ 补充完整的allowed-tools声明,包括Bash、Read、Write等工具及其使用场景
 SKILL.md:1
中危
敏感凭证处理未在文档中披露 敏感访问
脚本会解析用户的App ID和App Secret并写入~/.openclaw/openclaw.json,这些敏感凭证的处理逻辑完全没有在SKILL.md中披露,用户无法评估凭证是否被安全处理或可能被日志记录。
config.appId = line.split(':')[1].trim(); config.appSecret = line.split(':')[1].trim();
→ 在文档中明确说明凭证的存储方式、是否经过加密、是否可能被日志记录
 scripts/auto-configure-bot.js:45
资源类型声明权限推断权限状态证据
命令执行 NONE WRITE ✗ 越权 scripts/auto-configure-bot.js:1 'const { exec } = require('child_process')' - 未在…
文件系统 NONE WRITE ✗ 越权 scripts/auto-configure-bot.js:158 writeFileSync写入~/.openclaw/openclaw.json,SKILL…
环境变量 NONE READ ✗ 越权 scripts/auto-configure-bot.js:13 读取 process.env.HOME 用于路径构造,未声明
网络访问 NONE READ ✗ 越权 install.sh:20 git clone外部仓库形成网络依赖,SKILL.md仅描述功能但未披露外部依赖
1 严重 3 项发现
💀
严重 危险命令 危险 Shell 命令
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
SKILL.md:29
🔗
中危 外部 URL 外部 URL
https://docs.openclaw.ai
README.md:256
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/
README.md:257

目录结构

6 文件 · 21.5 KB · 897 行
JavaScript 1f · 442L Markdown 3f · 399L Shell 1f · 38L JSON 1f · 18L
├─ 📁 scripts
│ └─ 📜 auto-configure-bot.js JavaScript 442L · 11.5 KB
├─ 📝 CHANGELOG.md Markdown 35L · 885 B
├─ 🔧 install.sh Shell 38L · 796 B
├─ 📋 package.json JSON 18L · 409 B
├─ 📝 README.md Markdown 267L · 5.4 KB
└─ 📝 SKILL.md Markdown 97L · 2.5 KB

依赖分析 2 项

包名版本来源已知漏洞备注
child_process built-in Node.js Node.js内置模块,用于shell命令执行
fs built-in Node.js Node.js内置模块,用于文件读写

安全亮点

✓ 代码逻辑清晰可见,无明显的base64编码或代码混淆
✓ 没有发现硬编码的外部IP地址或C2通信地址
✓ 没有发现凭证外泄到第三方服务的行为
✓ 脚本功能与文档描述的功能基本一致(自动配置飞书机器人)
✓ 使用了MIT开源许可证,代码可审查
✓ 没有发现持久化后门或定时任务注册代码