Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
飞书增强套件
v1.0.0飞书增强套件 - 深度集成飞书文档、多维表格、消息和日历的自动化操作。适用于需要高效办公自动化的中文用户。
⭐ 0· 250·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明为飞书(Feishu/Lark)自动化套件,所调用的 API 域名均为官方 open.feishu.cn,所需的二进制工具 curl 和 jq 与该用途一致。总体能力与描述相符。
Instruction Scope
SKILL.md 建议在 TOOLS.md 中添加 App ID/Secret/Folder Token(配置型说明),但脚本 scripts/feishu-api.sh 在运行时直接从环境变量 FEISHU_APP_ID 和 FEISHU_APP_SECRET 读取凭据——技能文档与运行指令未对凭据的来源(环境变量 vs 工具配置)保持一致,存在模糊地带。SKILL.md 没有指示读取或传输与飞书无关的系统文件或凭据。
Install Mechanism
无下载/提取安装脚本;技能为说明性加一个 Bash 辅助脚本,且仅依赖系统上的 curl 和 jq,没有从不受信任的 URL 拉取代码,安装风险低。
Credentials
注册表元数据与 requires.env 声明没有列出任何必需环境变量,但脚本显式依赖 FEISHU_APP_ID 和 FEISHU_APP_SECRET(以及文档中提到的 folder token)。这是不成比例的/不一致的:敏感凭据被隐含要求但未声明,用户无法从元数据快速判断需提供哪些秘密。
Persistence & Privilege
技能没有 always:true,也不包含修改其他技能或系统范围配置的代码;默认的自主调用权限未与其他高权限或持久化行为结合,权限级别为常见水平。
What to consider before installing
这套技能本身看起来是正当的飞书自动化工具,且只调用官方 API,但有三点你应在安装前确认:
1) 确认凭据的传递方式。脚本需要 FEISHU_APP_ID 和 FEISHU_APP_SECRET(以及可能的 folder token),但元数据没有声明这些环境变量。问清作者/发布方凭据应该放在哪(环境变量、TOOLS.md 或平台的“工具”配置),不要将凭据随意放在公共或不受信任的地方。
2) 最小化权限与隔离测试。只给予该飞书应用最小必要权限;首次运行时在测试帐号或受限空间中验证行为,确认脚本不会发送意外消息或批量更改重要文档。
3) 验证发布者与源码。发布者信息和主页为空(source/homepage 未提供),如果你不能确定作者身份,要求作者在包元数据中补充 requires.env(列出 FEISHU_APP_ID/FEISHU_APP_SECRET/DEFAULT_FOLDER_TOKEN)并说明凭据如何存储,以及在运行时会做哪些 API 操作。若有怀疑,先不要在生产环境中使用,且如果凭据泄露,应当旋转(重置)这些密钥。Like a lobster shell, security has layers — review code before you run it.
latestvk972y12n7w8rsn4p6p2y0myg11831yxq
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
Binscurl, jq