总安装量 10
评分人数 14
核心用法
Feishu RSS Skill 是一个轻量级的 Node.js 命令行工具,用于将 RSS/Atom 订阅源的内容自动推送到飞书(Feishu)群组。用户通过简单的 CLI 命令完成订阅管理:add 命令添加 RSS 源并指定目标群组 ID,list 查看当前所有活跃订阅,check 命令(建议配合 cron 定时任务)轮询过去 24 小时的新内容并生成富文本卡片推送,remove 则用于取消指定 ID 的订阅。所有订阅配置存储在本地 feeds.json,已处理内容通过 memory/rss_history.json 去重,确保不重复推送。
显著优点
该 Skill 的最大优势在于与飞书生态的无缝集成,能够将分散的资讯源集中推送到团队协作场景。本地文件存储机制保证了数据隐私性,无需担心订阅内容外泄。轻量级的设计使其易于部署在服务器或本地环境,配合 cron 即可实现全自动资讯监控。此外,去重机制有效防止了重复通知对用户的打扰,OPML 导入导出功能(规划中)也便于批量管理订阅源。
潜在缺点与局限性
作为 T3 级社区项目,代码质量和长期维护存在一定不确定性。当前实现依赖 execSync 调用外部 feishu-card Skill,这种耦合方式不仅性能开销较大,还引入了命令注入风险。输入验证机制较为薄弱,对 RSS URL、飞书目标 ID 等参数缺乏严格的格式校验和长度限制。依赖版本使用 ^ 前缀未完全锁定,可能因第三方库更新引入兼容性问题或安全漏洞。此外,错误处理可能暴露敏感文件路径,且缺少对 RSS 源内容的安全过滤(如 XSS 防护)。
适合的目标群体
该 Skill 最适合需要在飞书群内共享技术资讯、行业动态的小型开发团队、运维团队或产品团队。个人开发者也可用于搭建个人资讯助手。对于已有飞书办公环境、具备基础 Node.js 运维能力、且能接受社区开源工具风险的用户群体尤为合适。不适合对安全性要求极高的金融、医疗等敏感行业生产环境,也不建议用于处理不可信来源的 RSS 内容。
使用风险
安全风险:execSync 执行的 shell 命令拼接存在注入漏洞,恶意构造的 --target 或 --name 参数可能执行任意系统命令。依赖风险:未锁定的依赖版本可能引入破坏性更新或供应链攻击。数据风险:虽然数据本地存储,但临时文件创建在 /tmp 目录,多用户环境下可能存在权限问题。稳定性风险:RSS 解析超时设置为 10 秒,面对大型 feed 可能超时;错误信息暴露文件路径可能被用于进一步攻击。维护风险:T3 来源意味着缺乏企业级背书,更新和维护依赖社区贡献。