📦 Feishu — 飞书
v1.0.0任务管理器通过创建、列出、完成、评论及组织飞书任务,支持设置负责人、截止日期和清单。
0· 7·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的说明描述了一个确实需要 App ID 和 App Secret 的 Feishu 集成,但包元数据未声明任何必需的凭据或配置细节,且存在虽小却影响重大的命名/安装不一致——这种不匹配值得警惕。
评估建议
该技能看似实现了其宣称的功能(调用飞书任务 API),但元数据在凭证和命名方面较为粗糙。安装前请:(1)向作者确认技能读取的确切配置键或环境变量名(如 FEISHU_APP_ID、FEISHU_APP_SECRET),以及这些值是否被存储或传输;(2)仅授予应用所需的最小 API 权限,并在信任前保持应用未发布/内部可见;(3)确认正确的 ClawHub 包名(feishu-task 还是 feishu-task-mgr),以免装错;(4)如可能,用低权限飞书应用测试并监控 API 调用,排查异常端点;(5)若无法获得关于凭证读取/存储位置的明确答复,请勿安装。若维护者能更新注册表元数据,声明所需环境变量和主凭证,即可解决主要的一致性问题。...详细分析 ▾
⚠ 用途与能力
SKILL.md 和 readme 描述了一个简单的 Feishu(Lark)Task API 集成(创建/列出/完成任务、添加评论),确实需要 Feishu 应用凭据。然而,注册元数据未列出任何必需的环境变量或主凭据。readme/skill 还提到安装 “feishu-task”,而注册 slug 却是 “feishu-task-mgr”——名称不一致,削弱了对包元数据的信任。
ℹ 指令范围
运行时指令仅限于调用 Feishu Task API 端点和标准任务操作(不得读取任意系统文件或泄露数据)。然而,配置指引模糊:仅提示用户“在 OpenClaw 配置中填写凭据”,未指明具体的环境变量键名或存储位置/方式,留下模糊空间,可能掩盖对密钥的不当处理。
✓ 安装机制
这是一个仅含指令的技能,没有安装规范,也没有代码文件,因此安装程序不会向磁盘写入任何内容。与下载或安装代码的技能相比,这限制了攻击面。
⚠ 凭证需求
该 skill 明确需要 Feishu App ID 和 App Secret(均在 readme/SKILL.md 中提及),但注册元数据未声明任何必需的环境变量或主要凭据。未声明凭据属于不一致:skill 运行需要密钥,而元数据未说明将读取哪些键、如何存储,以及哪个权限范围是主要的。
✓ 持久化与权限
该 skill 未设置 always:true,无 install hooks,可由用户调用。无迹象表明其试图修改其他 skill 或系统级设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
初始版本:完整的任务 CRUD、指派人支持、评论
● 无害
安装命令
点击复制官方npx clawhub@latest install feishu-task-mgr
镜像加速npx clawhub@latest install feishu-task-mgr --registry https://cn.longxiaskill.com