Skill Trust Decision
feishu-bot-config-helper
远程脚本执行(curl|bash)加上未声明的 shell 命令执行(Gateway 重启),构成明显的文档-行为差异,需进一步审查
Most direct threat evidence
Critical RCE
危险远程脚本管道执行 SKILL.md 安装说明中包含 curl|bash 危险模式,将远程 shell 脚本通过管道直接执行,任何中间人攻击或仓库被篡改都将导致代码在用户机器上无限制执行
SKILL.md:29 Why this conclusion was reached
3/4 dimensions flagged Block
Declared vs actual capability
1 undeclared or violating capabilities were inferred.
Block
Hidden execution and egress
1 high-risk artifacts or egress signals were extracted.
Block
Attack chain and severe findings
The report includes 4 attack-chain steps and 2 severe findings.
Review
Dependencies and supply chain hygiene
1 dependency or supply-chain issues need attention.
Attack Chain
01
用户查看 SKILL.md 获取安装指令
Entry · SKILL.md:1
02
执行 curl|bash 管道下载并运行远程 install.sh
Escalation · SKILL.md:29
03
install.sh git clone 整个仓库到 ~/.openclaw/
Escalation · install.sh:21
04
npm install 安装依赖,可能包含恶意包
Impact · install.sh:25
What drove the risk score up
远程脚本管道执行 +30
SKILL.md:29 包含 curl|bash 危险模式,直接从 GitHub 下载并执行 shell 脚本
shell 越权(阴影功能) +20
SKILL.md 未声明将执行 shell:WRITE,但代码调用 exec('openclaw gateway restart')
敏感凭证处理 +5
解析并存储 App Secret 到本地配置,但属于功能必要范围
Most important evidence
Critical RCE
危险远程脚本管道执行
SKILL.md 安装说明中包含 curl|bash 危险模式,将远程 shell 脚本通过管道直接执行,任何中间人攻击或仓库被篡改都将导致代码在用户机器上无限制执行
SKILL.md:29 禁止使用管道执行远程脚本,应下载后先审查内容再执行
High Priv Escalation
未声明的 shell 命令执行
SKILL.md 声称「自动重启 Gateway」但未声明将通过 shell:WRITE 执行外部命令。代码实际调用 exec('openclaw gateway restart'),属于阴影功能
scripts/auto-configure-bot.js:262 在 SKILL.md 明确声明需要 shell:WRITE 权限和将执行的命令
Medium Credential Theft
飞书应用凭证解析与存储
代码解析用户输入的 App ID 和 App Secret 并存储到 openclaw.json。凭证为飞书 API 访问密钥,理论上可被恶意利用,但当前实现为本地存储而非外传
scripts/auto-configure-bot.js:57 确认凭证仅用于本地配置,无需网络外传
Low Doc Mismatch
功能描述与实现存在差距
SKILL.md 列出 7 种 Agent 角色和复杂配置规范,但核心脚本 auto-configure-bot.js 仅实现了基础解析,工作流描述与实际代码能力不完全匹配
SKILL.md:44 更新文档以准确反映代码实际能力
Declared capability vs actual capability
Filesystem Pass
Declared WRITE
→ Inferred WRITE
SKILL.md 声明更新 openclaw.json,实际代码 read/write 该文件 Shell Block
Declared NONE
→ Inferred WRITE
scripts/auto-configure-bot.js:262 执行 exec('openclaw gateway restart') Environment Pass
Declared NONE
→ Inferred READ
读取 HOME 环境变量定位配置文件路径,属于常规路径构造 Suspicious artifacts and egress
Critical Dangerous Command
curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash SKILL.md:29
Medium External URL
https://docs.openclaw.ai README.md:256
Medium External URL
https://open.feishu.cn/ README.md:257
Dependencies and supply chain
| Package | Version | Source | Known vuln | Notes |
|---|---|---|---|---|
| node | * | bundled | No | 无外部 npm 依赖 |
File composition
6 files · 897 lines
JavaScript 1 files · 442 linesMarkdown 3 files · 399 linesShell 1 files · 38 linesJSON 1 files · 18 lines
Files of concern · 3
scripts/auto-configure-bot.js 未声明的 shell 命令执行 · 飞书应用凭证解析与存储
README.md https://docs.openclaw.ai · https://open.feishu.cn/
SKILL.md 危险远程脚本管道执行 · 功能描述与实现存在差距 · curl -fsSL https://raw.githubusercontent.com/jiebao360/feishu-bot-config-helper/main/install.sh | bash
Other files · CHANGELOG.md · install.sh · package.json
Security positives
代码结构清晰,类和函数有完整 JSDoc 注释
配置文件操作有错误处理
GitHub 仓库可追溯,有 MIT 许可证
凭证存储在本地配置文件,未发现网络外传行为