总安装量 11
评分人数 14
Feishu Broadcast Skill 是一款面向飞书(Feishu/Lark)平台的企业级消息广播工具,旨在帮助管理员或运维人员高效地向租户内所有用户推送通知、公告及多媒体内容。该工具通过调用飞书开放API动态获取用户列表,支持富文本(Markdown格式)和多媒体内容(贴纸、GIF等)的一键群发,适用于企业内部沟通、紧急通知、周报推送等场景。
核心用法上,用户通过命令行界面(CLI)调用脚本,支持多种消息格式组合。基础用法包括直接发送文本(--title 和 --text)、从Markdown文件读取长文本(--text-file)、附加图片或贴纸(--image),以及组合使用上述参数。工具内置Dry Run模式,允许管理员在实际发送前预览目标用户列表和消息内容,降低误操作风险。
显著优点体现在自动化能力与安全设计两方面。工具能够自动拉取租户内全部活跃用户,无需手动维护用户ID列表;支持通过 feishu-post 和 feishu-sticker 技能渲染富文本和媒体内容,提升消息表现力;内置1秒延迟的速率限制机制,避免触发飞书API频率限制;Dry Run模式为测试环境提供了安全的验证手段。
然而,该技能存在明显的安全局限性与技术债务。首先,代码中使用 exec() 函数拼接命令字符串执行外部脚本,存在严重的命令注入漏洞,若输入参数(如标题、文件名)包含恶意字符,可能导致任意代码执行。其次,作为T3级来源(社区个人开发者),代码审计与维护可持续性存疑。此外,临时文件创建路径未做安全隔离,存在路径遍历风险;依赖的外部技能(feishu-post、feishu-sticker)若被篡改,将直接影响本工具安全性。
适合的目标群体主要为具备一定技术背景的企业内部管理员、DevOps工程师或飞书应用开发者,适用于内部通知系统、定时任务报告推送等场景。不适合直接面向不可信用户的Web服务后端,或作为关键业务系统的核心组件。
使用风险需特别关注:命令注入漏洞可能导致服务器被控制;环境变量(FEISHU_APP_ID 和 FEISHU_APP_SECRET)若泄露,可能导致飞书租户数据被非法访问;日志中可能输出用户敏感信息;依赖项的供应链安全风险。建议在容器化隔离环境中运行,严格限制文件系统权限,并对输入参数实施白名单验证。
lib