lark-calendar-litiao 安全扫描报告 — 可信 | ClawSafe

5 /100

lark-calendar-litiao

飞书日历和任务管理工具，提供日历事件和待办任务的完整CRUD操作

纯飞书日历/任务管理工具，代码行为与文档声明完全一致，无恶意行为发现

技能名称lark-calendar-litiao

分析耗时38.8s

引擎pi

✓

可以安装

无需修改，可安全使用

安全发现 2 项

严重性	安全发现	位置
低危	dotenv依赖无精确版本锁定供应链 package.json中dotenv版本指定为^17.2.3，允许自动更新到次版本，可能引入兼容性问题 `"dotenv": "^17.2.3"` → 建议改为精确版本："dotenv": "17.2.3"	`package.json:12`
提示	SKILL.md包含App ID标识符敏感访问文档中硬编码了飞书应用ID (cli_a9f52a4ed7b8ded4)，这是公开的应用标识符而非密钥，风险极低 `FEISHU_APP_ID=cli_a9f52a4ed7b8ded4` → 无需修改，应用ID本身不是敏感信息	`SKILL.md:17`

资源类型	声明权限	推断权限	状态	证据
网络访问	`WRITE`	`WRITE`	✓ 一致	所有脚本均通过fetch调用open.feishu.cn
文件系统	`NONE`	`NONE`	—	无文件读写操作
命令执行	`NONE`	`NONE`	—	无subprocess或shell执行
环境变量	`READ`	`READ`	✓ 一致	仅读取FEISHU_APP_ID/SECRET用于认证

8 项发现

🔗

中危外部 URL 外部 URL

https://open.larksuite.com/document/server-docs/calendar-v4/calendar-event/create

SKILL.md:211

🔗

中危外部 URL 外部 URL

https://open.larksuite.com/document/server-docs/calendar-v4/calendar-event-attendee/create

SKILL.md:212

🔗

中危外部 URL 外部 URL

https://open.larksuite.com/document/server-docs/task-v2/task/create

SKILL.md:213

🔗

中危外部 URL 外部 URL

https://open.larksuite.com/app/cli_a9f52a4ed7b8ded4/auth

SKILL.md:225

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis

lib/lark-api.mjs:24

🔗

中危外部 URL 外部 URL

https://dotenvx.com

package-lock.json:24

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:26

📧

提示邮箱邮箱地址

[email protected]

lib/calendar.mjs:9

目录结构

17 文件 · 55.7 KB · 1973 行

JavaScript 13f · 1692L Markdown 1f · 229L JSON 3f · 52L

├─ ▾ 📁 lib

│ ├─ 📜 calendar.mjs JavaScript 310L · 9.5 KB

│ ├─ 📜 employees.mjs JavaScript 241L · 7.3 KB

│ ├─ 📜 lark-api.mjs JavaScript 142L · 3.8 KB

│ └─ 📜 task.mjs JavaScript 187L · 4.6 KB

├─ ▾ 📁 scripts

│ ├─ 📜 create-event.mjs JavaScript 124L · 4.0 KB

│ ├─ 📜 create-task.mjs JavaScript 109L · 3.1 KB

│ ├─ 📜 delete-event.mjs JavaScript 59L · 1.4 KB

│ ├─ 📜 delete-task.mjs JavaScript 55L · 1.1 KB

│ ├─ 📜 list-events.mjs JavaScript 93L · 2.5 KB

│ ├─ 📜 manage-attendees.mjs JavaScript 109L · 3.3 KB

│ ├─ 📜 manage-task-members.mjs JavaScript 105L · 3.0 KB

│ ├─ 📜 update-event.mjs JavaScript 83L · 2.2 KB

│ └─ 📜 update-task.mjs JavaScript 75L · 1.8 KB

├─ 📋 _meta.json JSON 5L · 132 B

├─ 📋 package-lock.json JSON 28L · 678 B

├─ 📋 package.json JSON 19L · 337 B

└─ 📝 SKILL.md Markdown 229L · 6.9 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`dotenv`	`^17.2.3`	npm	否	建议锁定精确版本以降低供应链风险

安全亮点

✓ 所有网络请求仅指向官方域名 open.feishu.cn

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 文档与实际代码行为完全一致

✓ 凭证(APP_SECRET)通过.env文件管理，未硬编码

✓ 使用标准Node.js API，无危险函数调用

✓ API token有缓存机制，避免频繁认证