NIST CSF Mapper Security Report — Suspicious | ClawSafe

45 /100

NIST CSF Mapper

Map security controls to NIST CSF 2.0 framework with gap analysis and improvement roadmap

纯文档型MCP工具，强制将用户公司安全信息发送到外部商业API，存在数据外传风险但符合声明用途

Skill NameNIST CSF Mapper

Duration46.2s

Enginepi

⚠

Use with caution

使用前评估数据敏感度；如处理高敏感行业（金融、医疗）建议自托管或使用本地模型；确认 toolweb.in 的数据处理政策符合企业合规要求

Findings 3 items

Severity	Finding	Location
Medium	强制外部API数据传输企业敏感信息 Data Exfil 技能将用户输入的company_size、industry、current_tools、regulatory_requirements等企业安全信息通过POST请求发送至portal.toolweb.in服务器，包括安全工具配置、监管合规要求等敏感业务数据 `POST /nist-mapping with company profile, security tools, and regulatory requirements` → 评估数据外传的必要性；考虑使用本地部署的NIST CSF映射工具替代；确认第三方服务的数据处理符合GDPR等行业合规要求	`SKILL.md:79`
Medium	依赖外部商业API服务 Supply Chain 技能功能完全依赖toolweb.in的外部API服务，无API可用时功能失效；服务条款和数据处理政策未在文档中明确说明 `Base URL: https://portal.toolweb.in/apis/compliance/nist-csf-mapper` → 评估对外部服务的依赖风险；考虑备选方案或本地部署；审查服务商的SLA和数据安全承诺	`SKILL.md:75`
Low	API密钥处理方式不明确 Doc Mismatch 文档说明API密钥通过X-API-Key header传递，但未说明密钥是否在客户端本地处理、是否会被记录或缓存 `Authentication: Pass your API key as X-API-Key header` → 确认API密钥的安全处理流程；避免在日志中记录密钥；考虑使用环境变量而非硬编码	`SKILL.md:89`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	SKILL.md - 无文件操作声明
Network	`READ`	`WRITE`	✗ Violation	SKILL.md:79 - 向https://portal.toolweb.in发送POST请求
Shell	`NONE`	`NONE`	—	SKILL.md - 无shell执行声明
Environment	`NONE`	`NONE`	—	SKILL.md - 无环境变量访问声明
Skill Invoke	`NONE`	`NONE`	—	SKILL.md - 无子技能调用
Clipboard	`NONE`	`NONE`	—	SKILL.md - 无剪贴板操作
Browser	`NONE`	`NONE`	—	SKILL.md - 无浏览器自动化
Database	`NONE`	`NONE`	—	SKILL.md - 无数据库操作

7 findings

🔗

Medium External URL 外部 URL

https://portal.toolweb.in/apis/compliance/nist-csf-mapper

SKILL.md:119

🔗

Medium External URL 外部 URL

https://toolweb.in

SKILL.md:146

🔗

Medium External URL 外部 URL

https://portal.toolweb.in

SKILL.md:147

🔗

Medium External URL 外部 URL

https://hub.toolweb.in

SKILL.md:148

🔗

Medium External URL 外部 URL

https://toolweb.in/openclaw/

SKILL.md:149

🔗

Medium External URL 外部 URL

https://rapidapi.com/user/mkrishna477

SKILL.md:150

🔗

Medium External URL 外部 URL

https://youtube.com/@toolweb-009

SKILL.md:151

File Tree

1 files · 6.3 KB · 151 lines

Markdown 1f · 151L

└─ 📝 SKILL.md Markdown 151L · 6.3 KB

Security Positives

✓ 纯文档型技能，无本地代码执行能力

✓ 无文件、Shell、环境变量等系统资源访问

✓ 功能声明清晰，与实际行为一致

✓ 无混淆代码或隐藏执行逻辑

Scan Report

Findings 3 items

File Tree

Security Positives