中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
notion-im-helper
通过 IM 向 Notion 追加记录,支持日记、笔记、待办、想法等 7 种内容类型
Notion IM Helper 是一个功能完整、代码干净的笔记同步工具,仅通过官方 Notion API 追加内容,无任何越权操作或恶意行为。
技能名称notion-im-helper
分析耗时35.8s
引擎pi
可以安装
该技能可直接使用,安全性良好。建议保持只追加策略,不扩展删除或外传功能。

安全发现 2 项

严重性 安全发现 位置
低危
依赖声明无版本锁定
SKILL.md 中 'pip install notion-client' 未指定版本,存在依赖供应链风险(依赖包被篡改或引入漏洞版本)
pip install notion-client
→ 建议改为 'pip install notion-client==2.2.0' 或使用 requirements.txt
 SKILL.md:20
提示
API 密钥通过环境变量传入
NOTION_API_KEY 通过 os.environ.get 读取,符合最小权限原则
API_KEY = os.environ.get("NOTION_API_KEY", "")
→ 无需修改,这是标准做法
 scripts/notion_client.py:8
资源类型声明权限推断权限状态证据
文件系统 NONE NONE 所有脚本无 open()/os.path/文件写入操作,仅 os.path.dirname(__file__) 获取脚本路径
网络访问 WRITE WRITE ✓ 一致 仅访问 api.notion.com,写入 Notion API
命令执行 NONE NONE 无 subprocess/os.system/shutil 等 shell 执行调用
环境变量 READ READ ✓ 一致 仅读取 NOTION_API_KEY 和 NOTION_PARENT_PAGE_ID,不外传
技能调用 NONE NONE 无动态 skill 调用
剪贴板 NONE NONE 无 pyperclip/pyautogui 等剪贴板操作
浏览器 NONE NONE 无 selenium/playwright/requests 等浏览器或外部 HTTP 请求
数据库 NONE NONE Notion API 是 SaaS 接口,非本地数据库
2 项发现
🔗
中危 外部 URL 外部 URL
https://www.notion.so/my-integrations
scripts/check_config.py:14
🔗
中危 外部 URL 外部 URL
https://api.notion.com/v1
scripts/notion_client.py:12

目录结构

9 文件 · 31.8 KB · 1076 行
Python 5f · 798L Markdown 2f · 180L YAML 1f · 90L JSON 1f · 8L
├─ 📁 scripts
│ ├─ 🐍 check_config.py Python 42L · 1.3 KB
│ ├─ 🐍 daily_summary.py Python 143L · 4.3 KB
│ ├─ 🐍 notion_client.py Python 141L · 4.5 KB
│ ├─ 🐍 record.py Python 338L · 9.5 KB
│ └─ 🐍 search_notes.py Python 134L · 3.7 KB
├─ 📋 _meta.json JSON 8L · 306 B
├─ 📝 CLAUDE.md Markdown 99L · 3.7 KB
├─ 📋 config.yaml YAML 90L · 1.9 KB
└─ 📝 SKILL.md Markdown 81L · 2.7 KB

依赖分析 1 项

包名版本来源已知漏洞备注
notion-client * pip 无版本锁定,存在供应链风险

安全亮点

✓ 无 shell 执行:所有网络操作使用 urllib.request,不调用 subprocess
✓ 无敏感路径访问:不访问 ~/.ssh、~/.aws、.env 等凭证路径
✓ 无数据外传:凭证仅用于 Notion API 鉴权,不发送至第三方
✓ 文档-行为一致:SKILL.md 声明的功能与代码实现完全对应
✓ Append-only 策略:声明不删除现有块,实际代码也确实只追加
✓ 无隐蔽操作:无 base64 编码、eval、动态代码执行等阴影功能
✓ 错误处理规范:标准化错误输出协议,用户体验友好且安全