扫描报告
5 /100
email-suite (imap+smtp)
AI email agent with local caching for instant inbox checks (~0.2s)
标准IMAP/SMTP邮件客户端工具,代码功能与文档声明一致,预扫描标记的base64实为合法的MIME主题解码,无恶意行为。
可以安装
可直接使用,注意保护.env凭证文件。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | IMAP客户端标识名称不一致 | scripts/imap.js:19-23 |
| 提示 | 预扫描base64标记误报 | scripts/imap.js:147 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md声明缓存写入,imap.js:30-35创建.cache目录 |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md声明IMAP/SMTP连接,imap.js:193-210使用imapflow连接 |
| 命令执行 | NONE | NONE | — | 无subprocess/shell执行调用 |
1 严重 10 项发现
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(text, 'base64' scripts/imap.js:147 中危 外部 URL 外部 URL
https://myaccount.google.com/apppasswords README.md:190 提示 邮箱 邮箱地址
[email protected] README.md:101 提示 邮箱 邮箱地址
[email protected] README.md:145 提示 邮箱 邮箱地址
[email protected] README.md:162 提示 邮箱 邮箱地址
[email protected] README.md:181 提示 邮箱 邮箱地址
[email protected] README.md:182 提示 邮箱 邮箱地址
[email protected] SKILL.md:38 提示 邮箱 邮箱地址
[email protected] SKILL.md:199 提示 邮箱 邮箱地址
[email protected] scripts/imap.js:19 目录结构
9 文件 · 61.4 KB · 2117 行 JavaScript 2f · 1387L
Markdown 3f · 491L
Shell 1f · 170L
JSON 2f · 41L
Text 1f · 28L
├─
▾
scripts
│ ├─
imap.js
JavaScript
│ └─
smtp.js
JavaScript
├─
_meta.json
JSON
├─
CHANGELOG.md
Markdown
├─
env.txt
Text
├─
package.json
JSON
├─
README.md
Markdown
├─
setup.sh
Shell
└─
SKILL.md
Markdown
依赖分析 7 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
imapflow | ^1.2.10 | npm | 否 | IMAP客户端库 |
nodemailer | ^7.0.13 | npm | 否 | SMTP发送库 |
mailparser | ^3.9.3 | npm | 否 | 邮件解析库 |
marked | ^17.0.5 | npm | 否 | Markdown转HTML |
dotenv | ^16.6.1 | npm | 否 | 环境变量加载 |
imap | ^0.8.19 | npm | 否 | 传统IMAP库(未使用) |
imap-simple | ^5.1.0 | npm | 否 | 传统IMAP封装(未使用) |
安全亮点
✓ 功能实现清晰,IMAP/SMTP操作完整
✓ 无shell执行或命令注入风险
✓ 无凭证外传或数据窃取行为
✓ 使用标准邮件库(imapflow, nodemailer)
✓ setup.sh提供安全提示(设置.env权限、勿提交git)
✓ 支持Gmail App Password等标准认证方式