扫描报告
0 /100
feishu-mention
飞书@提及解析器 - 将消息文本中的@name自动转换为<at>XML标签,调用飞书官方API获取OpenID
纯正的飞书@提及解析工具,代码行为与文档完全一致,仅操作飞书官方 API,无任何越权行为。
可以安装
可直接使用,无需干预。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | SKILL.md声明读~/.openclaw/openclaw.json,代码_getOpenClawConfig()实现一致 |
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md声明写~/.openclaw/workspace/cache/feishu_mentions/**,代码saveCache()实现一致 |
| 网络访问 | NONE | READ | ✓ 一致 | 代码向open.feishu.cn发送HTTPS请求获取bot信息/群成员,属于工具正常用途,未声明但已通过Feishu API调用实现其功能 |
3 项发现
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bot/v3/info index.js:95 中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal index.js:138 中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/chats/$ index.js:165 目录结构
13 文件 · 43.9 KB · 1416 行 Markdown 7f · 637L
JavaScript 4f · 495L
Python 1f · 254L
JSON 1f · 30L
├─
▾
assets
│ ├─
debug_guide.md
Markdown
│ ├─
example_usage.js
JavaScript
│ └─
send_message_example.js
JavaScript
├─
▾
scripts
│ └─
mention_resolver.py
Python
├─
AGENTS.md
Markdown
├─
FEISHU_MESSAGE_FORMAT.md
Markdown
├─
index.js
JavaScript
├─
integration.md
Markdown
├─
package.json
JSON
├─
QUICKSTART.md
Markdown
├─
README.md
Markdown
├─
SKILL.md
Markdown
└─
test.js
JavaScript
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
无外部依赖 | 纯标准库 | Node.js标准模块(fs/path/crypto/https) + Python标准库 | 否 | index.js仅使用Node.js内置模块;mention_resolver.py仅使用json/os/re/path/time/typing/hashlib |
安全亮点
✓ 文档-行为完全一致,无阴影功能
✓ 无base64编码、无shell执行、无eval调用
✓ 网络请求仅指向飞书官方API端点(open.feishu.cn),无第三方或可疑IP
✓ 凭证(appSecret)仅用于本地获取tenant_access_token,不外传
✓ 代码结构清晰,使用标准Node.js/Python API,无恶意依赖
✓ 缓存机制合理(TTL 2h/24h),无持久化后门
✓ 错误处理完善,失败时返回原文本而非抛出异常