扫描报告
5 /100
stitch-design-agent
Integrates designs from Google Stitch API into active codebase (React, NestJS)
纯文档型技能,仅包含 SKILL.md,声明的功能为合法的前端设计集成工具,通过 Google Stitch API 生成组件并写入项目目录,无恶意行为。
可以安装
可安全使用。该技能为文档型技能,无实际代码执行风险。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md:89 fs.writeFileSync(targetPath, response.code) |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:50 POST https://stitch.googleapis.com/v1/designs:generate |
| 命令执行 | READ | READ | ✓ 一致 | SKILL.md:96 grep/npx tsc/npm install |
1 项发现
中危 外部 URL 外部 URL
https://accounts.google.com/o/oauth2/v2/auth SKILL.md:39 目录结构
1 文件 · 7.4 KB · 256 行 Markdown 1f · 256L
└─
SKILL.md
Markdown
安全亮点
✓ 纯文档型技能,无可执行代码注入风险
✓ 所有行为均在 SKILL.md 中明确声明,无阴影功能
✓ 使用 Google 官方 Stitch API,无第三方恶意依赖
✓ 明确要求从环境变量读取凭证 (STITCH_TOKEN),不硬编码
✓ 凭证用途明确:仅用于 Stitch API 身份验证
✓ 文件写入路径明确:src/components/{componentName}.tsx
✓ 包含完善的错误处理和 TypeScript 编译验证