安全决策报告
飞书机器人配置助手
飞书机器人配置助手存在多处高危安全风险:文档中明确记录了curl|bash远程脚本执行命令(严重供应链攻击向量),且代码中存在未在SKILL.md中声明的shell执行能力(exec调用),同时依赖外部GitHub仓库形成完整的攻击链。
最直接的威胁证据
严重 供应链
文档中记录curl|bash远程脚本执行命令 SKILL.md第29行明确展示了curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash命令。这是业界公认的高危反模式,用户直接复制执行会将完整的远程脚本在特权模式下执行,攻击者可随时修改远程脚本内容进行供应链投毒。
SKILL.md:29 为什么得出这个结论
3/4 个维度触发 阻止
声明与实际能力
发现 4 项声明之外的能力或越权行为。
阻止
隐藏执行与外联
提取到 1 个高危 IOC 或外联信号。
阻止
攻击链与高危发现
报告包含 5 步攻击链,另有 4 项高危或严重发现。
通过
依赖与供应链卫生
依赖结构存在,但暂未看到明显高危告警。
攻击链
01
用户通过AI Agent执行技能,AI读取SKILL.md中记录的命令
初始入口 · SKILL.md:29
02
AI向用户展示curl|bash安装命令,用户在shell中执行
delivery · SKILL.md:29
03
install.sh从GitHub克隆仓库并执行npm install,在用户机器上安装完整依赖
exploitation · install.sh:20
04
auto-configure-bot.js通过exec()执行shell命令,创建目录并重启Gateway
privilege_escalation · scripts/auto-configure-bot.js:152
05
攻击者可通过修改GitHub仓库内容,在用户下次安装时注入恶意代码(供应链投毒)
最终危害 · install.sh:20
风险分是怎么被拉高的
文档中记录curl|bash远程脚本执行 +25
SKILL.md:29 明确记录 curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash,这是经典的供应链攻击向量
未声明的shell执行能力 +20
scripts/auto-configure-bot.js:1 使用 require('child_process'),调用exec()执行shell命令,但SKILL.md中完全没有提及shell执行权限需求
外部GitHub依赖供应链风险 +20
install.sh:20 执行 git clone https://github.com/jiebao360/feishu-bot-config-helper.git,完整依赖外部不可控仓库
文档与实际能力不匹配 +15
SKILL.md声明'NONE'权限但实际使用filesystem:WRITE(读写openclaw.json)和shell:WRITE(exec命令执行)
npm install无版本控制 +8
install.sh:26 执行 npm install,无 --save-exact 或 package-lock.json 验证,存在依赖替换风险
处理敏感凭证 +8
脚本解析并存储App ID和App Secret到配置文件,凭证处理流程未在文档中披露
最关键的证据
严重 供应链
文档中记录curl|bash远程脚本执行命令
SKILL.md第29行明确展示了curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash命令。这是业界公认的高危反模式,用户直接复制执行会将完整的远程脚本在特权模式下执行,攻击者可随时修改远程脚本内容进行供应链投毒。
SKILL.md:29 移除文档中的curl|bash命令,改为提供本地安装脚本或明确警告用户勿直接执行
高危 权限提升
未声明的shell执行能力
scripts/auto-configure-bot.js导入并使用了child_process模块,通过exec()执行mkdir和openclaw gateway restart命令,但SKILL.md完全没有声明需要shell:WRITE权限,违反了文档与实现一致性原则。
scripts/auto-configure-bot.js:1 在SKILL.md的allowed-tools中明确声明Bash工具的使用场景和必要性
高危 供应链
安装脚本依赖外部GitHub仓库
install.sh执行git clone从github.com/jiebao360/feishu-bot-config-helper拉取完整代码库。该仓库不受技能维护者控制,存在仓库被接管、代码被篡改的供应链攻击风险。
install.sh:20 将安装方式改为发布npm包或本地打包,避免动态拉取外部代码
高危 供应链
npm install无依赖版本锁定
install.sh第26行执行npm install但没有任何版本锁定参数,可能导致依赖被恶意包替换(依赖混淆攻击或域名抢注)。package.json中所有依赖版本均为*。
install.sh:26 使用npm ci替代npm install,并确保package-lock.json被提交到仓库
中危 文档欺骗
SKILL.md未声明实际使用的资源权限
该技能的SKILL.md声称使用飞书机器人自动配置功能,但完全没有声明所需的filesystem:WRITE(读写openclaw.json)、shell:WRITE(执行mkdir/restart)和environment:READ(读取HOME路径)权限。
SKILL.md:1 补充完整的allowed-tools声明,包括Bash、Read、Write等工具及其使用场景
中危 敏感访问
敏感凭证处理未在文档中披露
脚本会解析用户的App ID和App Secret并写入~/.openclaw/openclaw.json,这些敏感凭证的处理逻辑完全没有在SKILL.md中披露,用户无法评估凭证是否被安全处理或可能被日志记录。
scripts/auto-configure-bot.js:45 在文档中明确说明凭证的存储方式、是否经过加密、是否可能被日志记录
声明能力 vs 实际能力
命令执行 阻止
声明 NONE
→ 推断 WRITE
scripts/auto-configure-bot.js:1 'const { exec } = require('child_process')' - 未在SKILL.md中声明 文件系统 阻止
声明 NONE
→ 推断 WRITE
scripts/auto-configure-bot.js:158 writeFileSync写入~/.openclaw/openclaw.json,SKILL.md未声明filesystem权限 环境变量 阻止
声明 NONE
→ 推断 READ
scripts/auto-configure-bot.js:13 读取 process.env.HOME 用于路径构造,未声明 网络访问 阻止
声明 NONE
→ 推断 READ
install.sh:20 git clone外部仓库形成网络依赖,SKILL.md仅描述功能但未披露外部依赖 可疑产物与外联
严重 危险命令
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash SKILL.md:29
中危 外部 URL
https://docs.openclaw.ai README.md:256
中危 外部 URL
https://open.feishu.cn/ README.md:257
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| child_process | built-in | Node.js | 否 | Node.js内置模块,用于shell命令执行 |
| fs | built-in | Node.js | 否 | Node.js内置模块,用于文件读写 |
文件构成
6 个文件 · 897 行
JavaScript 1 个文件 · 442 行Markdown 3 个文件 · 399 行Shell 1 个文件 · 38 行JSON 1 个文件 · 18 行
需关注文件 · 4
scripts/auto-configure-bot.js 未声明的shell执行能力 · 敏感凭证处理未在文档中披露
README.md https://docs.openclaw.ai · https://open.feishu.cn/
SKILL.md 文档中记录curl|bash远程脚本执行命令 · SKILL.md未声明实际使用的资源权限 · curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
install.sh 安装脚本依赖外部GitHub仓库 · npm install无依赖版本锁定
其他文件 · CHANGELOG.md · package.json
安全亮点
代码逻辑清晰可见,无明显的base64编码或代码混淆
没有发现硬编码的外部IP地址或C2通信地址
没有发现凭证外泄到第三方服务的行为
脚本功能与文档描述的功能基本一致(自动配置飞书机器人)
使用了MIT开源许可证,代码可审查
没有发现持久化后门或定时任务注册代码