扫描报告
0 /100
baikexia
蜗牛公司百科虾知识库 Q&A 技能包,为员工解答公司相关问题
蜗牛公司百科虾技能包,合法飞书知识库同步工具,代码行为与文档声明完全一致,无恶意行为。
可以安装
可安全使用。该技能仅用于公司内部飞书知识库同步和消息发送,无安全风险。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | sync.js:43-52 读取 openclaw.json 凭证 |
| 网络访问 | READ | READ | ✓ 一致 | sync.js 访问 open.feishu.cn API,send-message.js 发送飞书消息 |
| 命令执行 | NONE | NONE | — | send-message.js:12 使用 execSync 执行 curl 命令,属于工具合法使用 |
3 项发现
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis scripts/send-message.js:18 中危 外部 URL 外部 URL
https://campsnail.feishu.cn/docx/$ scripts/sync.js:540 中危 外部 URL 外部 URL
https://campsnail.feishu.cn/wiki/$ scripts/sync.js:814 目录结构
4 文件 · 42.2 KB · 1253 行 JavaScript 2f · 1031L
Markdown 1f · 217L
JSON 1f · 5L
├─
▾
scripts
│ ├─
send-message.js
JavaScript
│ └─
sync.js
JavaScript
├─
_meta.json
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 代码行为与 SKILL.md 文档声明完全一致
✓ 仅访问飞书 API (open.feishu.cn),无外部网络请求
✓ 凭证从 openclaw.json 读取,不外传
✓ 使用 https.request 原生 API,无 eval/base64 等可疑操作
✓ 知识库同步到本地缓存,不存在数据外泄
✓ 无隐藏功能,所有功能都有明确文档说明