中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 18/100
上次扫描:10 小时前 重新扫描
18 /100
bitable_to_feishu_webhook
从飞书多维表中按用户规则筛选记录,自动将格式化后的内容推送到指定的群机器人 Webhook
飞书多维表推送工具,功能声明与实际行为一致,仅访问飞书官方 API,无越权操作。存在 eval 隔离不完整和依赖版本未锁定等轻微瑕疵。
技能名称bitable_to_feishu_webhook
分析耗时40.1s
引擎pi
可以安装
建议锁定 requests 和 urllib3 依赖版本以降低供应链风险。eval 的 __builtins__ 清空可进一步增强隔离。

安全发现 2 项

严重性 安全发现 位置
低危
依赖版本未锁定 供应链
requirements.txt 中 requests>=2.25.0 和 urllib3>=1.26.0 只有下限无上限版本,可能在未来引入恶意更新或兼容性风险
requests>=2.25.0
urllib3>=1.26.0
→ 改为固定版本如 requests==2.31.0,urllib3==1.26.18
 requirements.txt:1
低危
eval 表达式隔离不完整 代码执行
eval_rule 函数使用 eval() 执行用户提供的 rule_expression,虽已清空 __builtins__ 但非完全沙箱,理论上可进行字典推导等操作
safe_globals = {"__builtins__": {}}
safe_locals = {"fields": fields}
return bool(eval(rule_expression, safe_globals, safe_locals))
→ 考虑使用 ast.literal_eval 或自定义表达式解析器替代 eval
 push_skill.py:92
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 push_skill.py:59-67 访问飞书认证 API,push_skill.py:71 读取多维表,push_skill.py:133 发送 webho…
文件系统 NONE NONE 代码无任何文件读写操作
命令执行 NONE NONE 无 subprocess/os.system 调用
环境变量 NONE READ ✓ 一致 push_skill.py:32-35 仅读取 INPUT_* 环境变量获取用户输入参数
数据库 NONE NONE 无数据库操作
4 项发现
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bot/v2/hook/xxx)
SKILL.md:36
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn
SKILL.md:66
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal
push_skill.py:59
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bitable/v1/apps/
push_skill.py:71

目录结构

6 文件 · 26.2 KB · 805 行
Python 2f · 672L Markdown 2f · 125L JSON 1f · 5L Text 1f · 3L
├─ 📁 scripts
│ └─ 🐍 push.py Python 78L · 2.2 KB
├─ 📋 _meta.json JSON 5L · 136 B
├─ 🐍 push_skill.py Python 594L · 19.9 KB
├─ 📝 README.md Markdown 58L · 2.0 KB
├─ 📄 requirements.txt Text 3L · 34 B
└─ 📝 SKILL.md Markdown 67L · 2.0 KB

依赖分析 2 项

包名版本来源已知漏洞备注
requests >=2.25.0 pip 无版本上限锁定
urllib3 >=1.26.0 pip 无版本上限锁定

安全亮点

✓ 功能声明完整,与实际代码行为一致,无文档-行为差异
✓ 凭证(app_id/app_secret)仅用于获取飞书 API token,不外传
✓ 代码结构清晰,有完整的异常处理和日志输出
✓ 无隐蔽的敏感路径访问(~/.ssh、.env 等)
✓ 无 Base64 编码、shell 管道、远程脚本下载等可疑模式
✓ 无持久化后门或计划任务注册