lark-calendar-litiao Security Report — Trusted | ClawSafe

5 /100

lark-calendar-litiao

飞书日历和任务管理工具，提供日历事件和待办任务的完整CRUD操作

纯飞书日历/任务管理工具，代码行为与文档声明完全一致，无恶意行为发现

Skill Namelark-calendar-litiao

Duration38.8s

Enginepi

✓

Safe to install

无需修改，可安全使用

Findings 2 items

Severity	Finding	Location
Low	dotenv依赖无精确版本锁定 Supply Chain package.json中dotenv版本指定为^17.2.3，允许自动更新到次版本，可能引入兼容性问题 `"dotenv": "^17.2.3"` → 建议改为精确版本："dotenv": "17.2.3"	`package.json:12`
Info	SKILL.md包含App ID标识符 Sensitive Access 文档中硬编码了飞书应用ID (cli_a9f52a4ed7b8ded4)，这是公开的应用标识符而非密钥，风险极低 `FEISHU_APP_ID=cli_a9f52a4ed7b8ded4` → 无需修改，应用ID本身不是敏感信息	`SKILL.md:17`

Resource	Declared	Inferred	Status	Evidence
Network	`WRITE`	`WRITE`	✓ Aligned	所有脚本均通过fetch调用open.feishu.cn
Filesystem	`NONE`	`NONE`	—	无文件读写操作
Shell	`NONE`	`NONE`	—	无subprocess或shell执行
Environment	`READ`	`READ`	✓ Aligned	仅读取FEISHU_APP_ID/SECRET用于认证

8 findings

🔗

Medium External URL 外部 URL

https://open.larksuite.com/document/server-docs/calendar-v4/calendar-event/create

SKILL.md:211

🔗

Medium External URL 外部 URL

https://open.larksuite.com/document/server-docs/calendar-v4/calendar-event-attendee/create

SKILL.md:212

🔗

Medium External URL 外部 URL

https://open.larksuite.com/document/server-docs/task-v2/task/create

SKILL.md:213

🔗

Medium External URL 外部 URL

https://open.larksuite.com/app/cli_a9f52a4ed7b8ded4/auth

SKILL.md:225

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis

lib/lark-api.mjs:24

🔗

Medium External URL 外部 URL

https://dotenvx.com

package-lock.json:24

📧

Info Email 邮箱地址

[email protected]

SKILL.md:26

📧

Info Email 邮箱地址

[email protected]

lib/calendar.mjs:9

File Tree

17 files · 55.7 KB · 1973 lines

JavaScript 13f · 1692L Markdown 1f · 229L JSON 3f · 52L

├─ ▾ 📁 lib

│ ├─ 📜 calendar.mjs JavaScript 310L · 9.5 KB

│ ├─ 📜 employees.mjs JavaScript 241L · 7.3 KB

│ ├─ 📜 lark-api.mjs JavaScript 142L · 3.8 KB

│ └─ 📜 task.mjs JavaScript 187L · 4.6 KB

├─ ▾ 📁 scripts

│ ├─ 📜 create-event.mjs JavaScript 124L · 4.0 KB

│ ├─ 📜 create-task.mjs JavaScript 109L · 3.1 KB

│ ├─ 📜 delete-event.mjs JavaScript 59L · 1.4 KB

│ ├─ 📜 delete-task.mjs JavaScript 55L · 1.1 KB

│ ├─ 📜 list-events.mjs JavaScript 93L · 2.5 KB

│ ├─ 📜 manage-attendees.mjs JavaScript 109L · 3.3 KB

│ ├─ 📜 manage-task-members.mjs JavaScript 105L · 3.0 KB

│ ├─ 📜 update-event.mjs JavaScript 83L · 2.2 KB

│ └─ 📜 update-task.mjs JavaScript 75L · 1.8 KB

├─ 📋 _meta.json JSON 5L · 132 B

├─ 📋 package-lock.json JSON 28L · 678 B

├─ 📋 package.json JSON 19L · 337 B

└─ 📝 SKILL.md Markdown 229L · 6.9 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`dotenv`	`^17.2.3`	npm	No	建议锁定精确版本以降低供应链风险

Security Positives

✓ 所有网络请求仅指向官方域名 open.feishu.cn

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 文档与实际代码行为完全一致

✓ 凭证(APP_SECRET)通过.env文件管理，未硬编码

✓ 使用标准Node.js API，无危险函数调用

✓ API token有缓存机制，避免频繁认证

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives