中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
wishpond
Wishpond integration. Manage data, records, and automate workflows using Membrane CLI.
纯文档型技能,无代码文件,所有功能均已在 SKILL.md 中完整声明,使用官方 Membrane CLI 与 Wishpond API 交互,无阴影行为。
Skill Namewishpond
Duration30.6s
Enginepi
Safe to install
可安全使用。建议确认 @membranehq/cli 版本锁定以防范供应链攻击。

Findings 2 items

Severity Finding Location
Info
npm 包安装无版本锁定
SKILL.md 中 npm install -g @membranehq/cli 未指定版本,可能拉取非预期版本。标准 CLI 安装实践中可接受,但非最佳安全实践。
npm install -g @membranehq/cli
→ 建议改为 @membranehq/cli@latest 或锁定具体版本
 SKILL.md:26
Info
membrane request 具备代理请求能力
membrane request CONNECTION_ID /path/to/endpoint 可发送任意 HTTP 方法请求到 Wishpond API。虽在声明范围内,但具备较强的 API 操作自由度。
membrane request CONNECTION_ID /path/to/endpoint
→ 确认 Membrane 平台侧对请求日志有审计能力;本技能侧风险极低
 SKILL.md:55
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE SKILL.md 全程无文件读写操作,仅通过 CLI 输出结果
Network READ READ ✓ Aligned SKILL.md:36-68 所有网络操作通过 membrane request 发往 Wishpond API,行为与声明一致
Shell WRITE WRITE ✓ Aligned SKILL.md:26-27 npm install、membrane login 等命令均已声明
Environment NONE NONE SKILL.md 无任何环境变量读取或写入
Skill Invoke NONE NONE SKILL.md 不涉及子技能调用
Clipboard NONE NONE SKILL.md 无剪贴板操作
Browser NONE NONE SKILL.md 中 membrane login 触发浏览器认证窗口,但属于 Membrane CLI 内置行为,不在本技能控制范围内
Database NONE NONE SKILL.md 无数据库操作
2 findings
🔗
Medium External URL 外部 URL
https://getmembrane.com
SKILL.md:7
🔗
Medium External URL 外部 URL
https://developers.wishpond.com/
SKILL.md:19

File Tree

1 files · 4.6 KB · 132 lines
Markdown 1f · 132L
└─ 📝 SKILL.md Markdown 132L · 4.6 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
@membranehq/cli * npm No SKILL.md 未锁定版本,建议指定 @latest 或具体版本号

Security Positives

✓ 纯文档型技能,无脚本文件,无执行代码,完全排除阴影功能可能性
✓ 所有网络和 shell 操作均已在 SKILL.md 中完整声明,文档-行为一致性100%
✓ 凭证管理交由 Membrane 平台处理,本技能不持有或传输明文密钥
✓ 无文件读写、无环境变量访问、无凭证收割、无数据外传
✓ 使用业界知名 CLI 工具 @membranehq/cli,非自建隐蔽后门