中文 EN

扫描报告

扫描新文件

可疑 — 风险评分 45/100
上次扫描:11 小时前 重新扫描
45 /100
NIST CSF Mapper
Map security controls to NIST CSF 2.0 framework with gap analysis and improvement roadmap
纯文档型MCP工具,强制将用户公司安全信息发送到外部商业API,存在数据外传风险但符合声明用途
技能名称NIST CSF Mapper
分析耗时46.2s
引擎pi
谨慎使用
使用前评估数据敏感度;如处理高敏感行业(金融、医疗)建议自托管或使用本地模型;确认 toolweb.in 的数据处理政策符合企业合规要求

安全发现 3 项

严重性 安全发现 位置
中危
强制外部API数据传输企业敏感信息 数据外泄
技能将用户输入的company_size、industry、current_tools、regulatory_requirements等企业安全信息通过POST请求发送至portal.toolweb.in服务器,包括安全工具配置、监管合规要求等敏感业务数据
POST /nist-mapping with company profile, security tools, and regulatory requirements
→ 评估数据外传的必要性;考虑使用本地部署的NIST CSF映射工具替代;确认第三方服务的数据处理符合GDPR等行业合规要求
 SKILL.md:79
中危
依赖外部商业API服务 供应链
技能功能完全依赖toolweb.in的外部API服务,无API可用时功能失效;服务条款和数据处理政策未在文档中明确说明
Base URL: https://portal.toolweb.in/apis/compliance/nist-csf-mapper
→ 评估对外部服务的依赖风险;考虑备选方案或本地部署;审查服务商的SLA和数据安全承诺
 SKILL.md:75
低危
API密钥处理方式不明确 文档欺骗
文档说明API密钥通过X-API-Key header传递,但未说明密钥是否在客户端本地处理、是否会被记录或缓存
Authentication: Pass your API key as X-API-Key header
→ 确认API密钥的安全处理流程;避免在日志中记录密钥;考虑使用环境变量而非硬编码
 SKILL.md:89
资源类型声明权限推断权限状态证据
文件系统 NONE NONE SKILL.md - 无文件操作声明
网络访问 READ WRITE ✗ 越权 SKILL.md:79 - 向https://portal.toolweb.in发送POST请求
命令执行 NONE NONE SKILL.md - 无shell执行声明
环境变量 NONE NONE SKILL.md - 无环境变量访问声明
技能调用 NONE NONE SKILL.md - 无子技能调用
剪贴板 NONE NONE SKILL.md - 无剪贴板操作
浏览器 NONE NONE SKILL.md - 无浏览器自动化
数据库 NONE NONE SKILL.md - 无数据库操作
7 项发现
🔗
中危 外部 URL 外部 URL
https://portal.toolweb.in/apis/compliance/nist-csf-mapper
SKILL.md:119
🔗
中危 外部 URL 外部 URL
https://toolweb.in
SKILL.md:146
🔗
中危 外部 URL 外部 URL
https://portal.toolweb.in
SKILL.md:147
🔗
中危 外部 URL 外部 URL
https://hub.toolweb.in
SKILL.md:148
🔗
中危 外部 URL 外部 URL
https://toolweb.in/openclaw/
SKILL.md:149
🔗
中危 外部 URL 外部 URL
https://rapidapi.com/user/mkrishna477
SKILL.md:150
🔗
中危 外部 URL 外部 URL
https://youtube.com/@toolweb-009
SKILL.md:151

目录结构

1 文件 · 6.3 KB · 151 行
Markdown 1f · 151L
└─ 📝 SKILL.md Markdown 151L · 6.3 KB

安全亮点

✓ 纯文档型技能,无本地代码执行能力
✓ 无文件、Shell、环境变量等系统资源访问
✓ 功能声明清晰,与实际行为一致
✓ 无混淆代码或隐藏执行逻辑