Scan Report
5 /100
stitch-design-agent
Integrates designs from Google Stitch API into active codebase (React, NestJS)
纯文档型技能,仅包含 SKILL.md,声明的功能为合法的前端设计集成工具,通过 Google Stitch API 生成组件并写入项目目录,无恶意行为。
Safe to install
可安全使用。该技能为文档型技能,无实际代码执行风险。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:89 fs.writeFileSync(targetPath, response.code) |
| Network | READ | READ | ✓ Aligned | SKILL.md:50 POST https://stitch.googleapis.com/v1/designs:generate |
| Shell | READ | READ | ✓ Aligned | SKILL.md:96 grep/npx tsc/npm install |
1 findings
Medium External URL 外部 URL
https://accounts.google.com/o/oauth2/v2/auth SKILL.md:39 File Tree
1 files · 7.4 KB · 256 lines Markdown 1f · 256L
└─
SKILL.md
Markdown
Security Positives
✓ 纯文档型技能,无可执行代码注入风险
✓ 所有行为均在 SKILL.md 中明确声明,无阴影功能
✓ 使用 Google 官方 Stitch API,无第三方恶意依赖
✓ 明确要求从环境变量读取凭证 (STITCH_TOKEN),不硬编码
✓ 凭证用途明确:仅用于 Stitch API 身份验证
✓ 文件写入路径明确:src/components/{componentName}.tsx
✓ 包含完善的错误处理和 TypeScript 编译验证