Scan Report
5 /100
notion-im-helper
通过 IM 向 Notion 追加记录,支持日记、笔记、待办、想法等 7 种内容类型
Notion IM Helper 是一个功能完整、代码干净的笔记同步工具,仅通过官方 Notion API 追加内容,无任何越权操作或恶意行为。
Safe to install
该技能可直接使用,安全性良好。建议保持只追加策略,不扩展删除或外传功能。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | 依赖声明无版本锁定 | SKILL.md:20 |
| Info | API 密钥通过环境变量传入 | scripts/notion_client.py:8 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | NONE | — | 所有脚本无 open()/os.path/文件写入操作,仅 os.path.dirname(__file__) 获取脚本路径 |
| Network | WRITE | WRITE | ✓ Aligned | 仅访问 api.notion.com,写入 Notion API |
| Shell | NONE | NONE | — | 无 subprocess/os.system/shutil 等 shell 执行调用 |
| Environment | READ | READ | ✓ Aligned | 仅读取 NOTION_API_KEY 和 NOTION_PARENT_PAGE_ID,不外传 |
| Skill Invoke | NONE | NONE | — | 无动态 skill 调用 |
| Clipboard | NONE | NONE | — | 无 pyperclip/pyautogui 等剪贴板操作 |
| Browser | NONE | NONE | — | 无 selenium/playwright/requests 等浏览器或外部 HTTP 请求 |
| Database | NONE | NONE | — | Notion API 是 SaaS 接口,非本地数据库 |
2 findings
Medium External URL 外部 URL
https://www.notion.so/my-integrations scripts/check_config.py:14 Medium External URL 外部 URL
https://api.notion.com/v1 scripts/notion_client.py:12 File Tree
9 files · 31.8 KB · 1076 lines Python 5f · 798L
Markdown 2f · 180L
YAML 1f · 90L
JSON 1f · 8L
├─
▾
scripts
│ ├─
check_config.py
Python
│ ├─
daily_summary.py
Python
│ ├─
notion_client.py
Python
│ ├─
record.py
Python
│ └─
search_notes.py
Python
├─
_meta.json
JSON
├─
CLAUDE.md
Markdown
├─
config.yaml
YAML
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
notion-client | * | pip | No | 无版本锁定,存在供应链风险 |
Security Positives
✓ 无 shell 执行:所有网络操作使用 urllib.request,不调用 subprocess
✓ 无敏感路径访问:不访问 ~/.ssh、~/.aws、.env 等凭证路径
✓ 无数据外传:凭证仅用于 Notion API 鉴权,不发送至第三方
✓ 文档-行为一致:SKILL.md 声明的功能与代码实现完全对应
✓ Append-only 策略:声明不删除现有块,实际代码也确实只追加
✓ 无隐蔽操作:无 base64 编码、eval、动态代码执行等阴影功能
✓ 错误处理规范:标准化错误输出协议,用户体验友好且安全