Scan Report
18 /100
bitable_to_feishu_webhook
从飞书多维表中按用户规则筛选记录,自动将格式化后的内容推送到指定的群机器人 Webhook
飞书多维表推送工具,功能声明与实际行为一致,仅访问飞书官方 API,无越权操作。存在 eval 隔离不完整和依赖版本未锁定等轻微瑕疵。
Safe to install
建议锁定 requests 和 urllib3 依赖版本以降低供应链风险。eval 的 __builtins__ 清空可进一步增强隔离。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | 依赖版本未锁定 Supply Chain | requirements.txt:1 |
| Low | eval 表达式隔离不完整 RCE | push_skill.py:92 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | push_skill.py:59-67 访问飞书认证 API,push_skill.py:71 读取多维表,push_skill.py:133 发送 webho… |
| Filesystem | NONE | NONE | — | 代码无任何文件读写操作 |
| Shell | NONE | NONE | — | 无 subprocess/os.system 调用 |
| Environment | NONE | READ | ✓ Aligned | push_skill.py:32-35 仅读取 INPUT_* 环境变量获取用户输入参数 |
| Database | NONE | NONE | — | 无数据库操作 |
4 findings
Medium External URL 外部 URL
https://open.feishu.cn/open-apis/bot/v2/hook/xxx) SKILL.md:36 Medium External URL 外部 URL
https://open.feishu.cn SKILL.md:66 Medium External URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal push_skill.py:59 Medium External URL 外部 URL
https://open.feishu.cn/open-apis/bitable/v1/apps/ push_skill.py:71 File Tree
6 files · 26.2 KB · 805 lines Python 2f · 672L
Markdown 2f · 125L
JSON 1f · 5L
Text 1f · 3L
├─
▾
scripts
│ └─
push.py
Python
├─
_meta.json
JSON
├─
push_skill.py
Python
├─
README.md
Markdown
├─
requirements.txt
Text
└─
SKILL.md
Markdown
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | >=2.25.0 | pip | No | 无版本上限锁定 |
urllib3 | >=1.26.0 | pip | No | 无版本上限锁定 |
Security Positives
✓ 功能声明完整,与实际代码行为一致,无文档-行为差异
✓ 凭证(app_id/app_secret)仅用于获取飞书 API token,不外传
✓ 代码结构清晰,有完整的异常处理和日志输出
✓ 无隐蔽的敏感路径访问(~/.ssh、.env 等)
✓ 无 Base64 编码、shell 管道、远程脚本下载等可疑模式
✓ 无持久化后门或计划任务注册