email-suite (imap+smtp) Security Report — Trusted | ClawSafe

5 /100

email-suite (imap+smtp)

AI email agent with local caching for instant inbox checks (~0.2s)

标准IMAP/SMTP邮件客户端工具，代码功能与文档声明一致，预扫描标记的base64实为合法的MIME主题解码，无恶意行为。

Skill Nameemail-suite (imap+smtp)

Duration26.9s

Enginepi

✓

Safe to install

可直接使用，注意保护.env凭证文件。

Findings 2 items

Severity	Finding	Location
Info	IMAP客户端标识名称不一致 imap.js:19-23中IMAP_ID声明为{name:'moltbot', vendor:'netease'}，与skill名称'email-suite'不符。这是IMAP协议标识头，用于服务器兼容性，不影响安全。 `const IMAP_ID = { name: 'moltbot', version: '0.0.1', vendor: 'netease', 'support-email': '[email protected]' };` → 可忽略或修改为更合适的标识名	`scripts/imap.js:19-23`
Info	预扫描base64标记误报 imap.js:147的Buffer.from(text, 'base64')用于解码MIME编码主题（如=?UTF-8?B?...?=），是标准邮件解析逻辑，非恶意代码执行。 `return Buffer.from(text, 'base64').toString('utf-8');` → 无需处理	`scripts/imap.js:147`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md声明缓存写入，imap.js:30-35创建.cache目录
Network	`READ`	`READ`	✓ Aligned	SKILL.md声明IMAP/SMTP连接，imap.js:193-210使用imapflow连接
Shell	`NONE`	`NONE`	—	无subprocess/shell执行调用

1 Critical 10 findings

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

Buffer.from(text, 'base64'

scripts/imap.js:147

🔗

Medium External URL 外部 URL

https://myaccount.google.com/apppasswords

README.md:190

📧

Info Email 邮箱地址

[email protected]

README.md:101

📧

Info Email 邮箱地址

[email protected]

README.md:145

📧

Info Email 邮箱地址

[email protected]

README.md:162

📧

Info Email 邮箱地址

[email protected]

README.md:181

📧

Info Email 邮箱地址

[email protected]

README.md:182

📧

Info Email 邮箱地址

[email protected]

SKILL.md:38

📧

Info Email 邮箱地址

[email protected]

SKILL.md:199

📧

Info Email 邮箱地址

[email protected]

scripts/imap.js:19

File Tree

9 files · 61.4 KB · 2117 lines

JavaScript 2f · 1387L Markdown 3f · 491L Shell 1f · 170L JSON 2f · 41L Text 1f · 28L

├─ ▾ 📁 scripts

│ ├─ 📜 imap.js JavaScript 960L · 28.8 KB

│ └─ 📜 smtp.js JavaScript 427L · 11.9 KB

├─ 📋 _meta.json JSON 5L · 140 B

├─ 📝 CHANGELOG.md Markdown 30L · 1.3 KB

├─ 📄 env.txt Text 28L · 804 B

├─ 📋 package.json JSON 36L · 895 B

├─ 📝 README.md Markdown 216L · 6.7 KB

├─ 🔧 setup.sh Shell 170L · 4.3 KB

└─ 📝 SKILL.md Markdown 245L · 6.6 KB

Dependencies 7 items

Package	Version	Source	Known Vulns	Notes
`imapflow`	`^1.2.10`	npm	No	IMAP客户端库
`nodemailer`	`^7.0.13`	npm	No	SMTP发送库
`mailparser`	`^3.9.3`	npm	No	邮件解析库
`marked`	`^17.0.5`	npm	No	Markdown转HTML
`dotenv`	`^16.6.1`	npm	No	环境变量加载
`imap`	`^0.8.19`	npm	No	传统IMAP库(未使用)
`imap-simple`	`^5.1.0`	npm	No	传统IMAP封装(未使用)

Security Positives

✓ 功能实现清晰，IMAP/SMTP操作完整

✓ 无shell执行或命令注入风险

✓ 无凭证外传或数据窃取行为

✓ 使用标准邮件库(imapflow, nodemailer)

✓ setup.sh提供安全提示(设置.env权限、勿提交git)

✓ 支持Gmail App Password等标准认证方式

Scan Report

Findings 2 items

File Tree

Dependencies 7 items

Security Positives