wishpond 安全扫描报告 — 可信 | ClawSafe

5 /100

wishpond

Wishpond integration. Manage data, records, and automate workflows using Membrane CLI.

纯文档型技能，无代码文件，所有功能均已在 SKILL.md 中完整声明，使用官方 Membrane CLI 与 Wishpond API 交互，无阴影行为。

技能名称wishpond

分析耗时30.6s

引擎pi

✓

可以安装

可安全使用。建议确认 @membranehq/cli 版本锁定以防范供应链攻击。

安全发现 2 项

严重性	安全发现	位置
提示	npm 包安装无版本锁定 SKILL.md 中 npm install -g @membranehq/cli 未指定版本，可能拉取非预期版本。标准 CLI 安装实践中可接受，但非最佳安全实践。 `npm install -g @membranehq/cli` → 建议改为 @membranehq/cli@latest 或锁定具体版本	`SKILL.md:26`
提示	membrane request 具备代理请求能力 membrane request CONNECTION_ID /path/to/endpoint 可发送任意 HTTP 方法请求到 Wishpond API。虽在声明范围内，但具备较强的 API 操作自由度。 `membrane request CONNECTION_ID /path/to/endpoint` → 确认 Membrane 平台侧对请求日志有审计能力；本技能侧风险极低	`SKILL.md:55`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	SKILL.md 全程无文件读写操作，仅通过 CLI 输出结果
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:36-68 所有网络操作通过 membrane request 发往 Wishpond API，行为与声明一致
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:26-27 npm install、membrane login 等命令均已声明
环境变量	`NONE`	`NONE`	—	SKILL.md 无任何环境变量读取或写入
技能调用	`NONE`	`NONE`	—	SKILL.md 不涉及子技能调用
剪贴板	`NONE`	`NONE`	—	SKILL.md 无剪贴板操作
浏览器	`NONE`	`NONE`	—	SKILL.md 中 membrane login 触发浏览器认证窗口，但属于 Membrane CLI 内置行为，不在本技能控制范围内
数据库	`NONE`	`NONE`	—	SKILL.md 无数据库操作

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://developers.wishpond.com/

SKILL.md:19

1 文件 · 4.6 KB · 132 行

Markdown 1f · 132L

└─ 📝 SKILL.md Markdown 132L · 4.6 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`*`	npm	否	SKILL.md 未锁定版本，建议指定 @latest 或具体版本号

✓ 纯文档型技能，无脚本文件，无执行代码，完全排除阴影功能可能性

✓ 所有网络和 shell 操作均已在 SKILL.md 中完整声明，文档-行为一致性100%

✓ 凭证管理交由 Membrane 平台处理，本技能不持有或传输明文密钥

✓ 无文件读写、无环境变量访问、无凭证收割、无数据外传

✓ 使用业界知名 CLI 工具 @membranehq/cli，非自建隐蔽后门