Name: feishu-mention Security Report — Trusted | ClawSafe
Item: feishu-mention
Rating: 100
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

0 /100

feishu-mention

飞书@提及解析器 - 将消息文本中的@name自动转换为<at>XML标签，调用飞书官方API获取OpenID

纯正的飞书@提及解析工具，代码行为与文档完全一致，仅操作飞书官方 API，无任何越权行为。

Skill Namefeishu-mention

Duration39.9s

Enginepi

ClawHub feishu-mention v2.0.2 by helong0911-alt

📥 185 📦 1

ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration

✓

Safe to install

可直接使用，无需干预。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md声明读~/.openclaw/openclaw.json，代码_getOpenClawConfig()实现一致
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md声明写~/.openclaw/workspace/cache/feishu_mentions/**，代码saveCache()实现一致
Network	`NONE`	`READ`	✓ Aligned	代码向open.feishu.cn发送HTTPS请求获取bot信息/群成员，属于工具正常用途，未声明但已通过Feishu API调用实现其功能

3 findings

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/bot/v3/info

index.js:95

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

index.js:138

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/chats/$

index.js:165

File Tree

13 files · 43.9 KB · 1416 lines

Markdown 7f · 637L JavaScript 4f · 495L Python 1f · 254L JSON 1f · 30L

├─ ▾ 📁 assets

│ ├─ 📝 debug_guide.md Markdown 94L · 2.5 KB

│ ├─ 📜 example_usage.js JavaScript 60L · 1.8 KB

│ └─ 📜 send_message_example.js JavaScript 63L · 1.7 KB

├─ ▾ 📁 scripts

│ └─ 🐍 mention_resolver.py Python 254L · 8.9 KB

├─ 📝 AGENTS.md Markdown 80L · 2.9 KB

├─ 📝 FEISHU_MESSAGE_FORMAT.md Markdown 79L · 1.7 KB

├─ 📜 index.js JavaScript 352L · 11.5 KB

├─ 📝 integration.md Markdown 109L · 3.0 KB

├─ 📋 package.json JSON 30L · 686 B

├─ 📝 QUICKSTART.md Markdown 88L · 2.9 KB

├─ 📝 README.md Markdown 89L · 2.3 KB

├─ 📝 SKILL.md Markdown 98L · 3.4 KB

└─ 📜 test.js JavaScript 20L · 621 B

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`无外部依赖`	`纯标准库`	Node.js标准模块(fs/path/crypto/https) + Python标准库	No	index.js仅使用Node.js内置模块；mention_resolver.py仅使用json/os/re/path/time/typing/hashlib

Security Positives

✓ 文档-行为完全一致，无阴影功能

✓ 无base64编码、无shell执行、无eval调用

✓ 网络请求仅指向飞书官方API端点(open.feishu.cn)，无第三方或可疑IP

✓ 凭证(appSecret)仅用于本地获取tenant_access_token，不外传

✓ 代码结构清晰，使用标准Node.js/Python API，无恶意依赖

✓ 缓存机制合理(TTL 2h/24h)，无持久化后门

✓ 错误处理完善，失败时返回原文本而非抛出异常

Scan Report

File Tree

Dependencies 1 items

Security Positives