安全决策报告

NIST CSF Mapper

Name: NIST CSF Mapper 可信度判断报告
Item: NIST CSF Mapper
Rating: 55
Author: ClawSafe

纯文档型MCP工具，强制将用户公司安全信息发送到外部商业API，存在数据外传风险但符合声明用途

安装决策优先来源: 手动上传扫描时间: 2026/4/5

文件 1

IOC 7

越权项 1

发现 3

最直接的威胁证据

为什么得出这个结论

1/4 个维度触发

阻止

声明与实际能力

发现 1 项声明之外的能力或越权行为。

复核

隐藏执行与外联

提取到 7 个一般风险产物，需要结合上下文判断。

通过

攻击链与高危发现

没有形成明确的恶意路径。

复核

依赖与供应链卫生

没有完整依赖信息，供应链判断需要保留弹性。

风险分是怎么被拉高的

强制外部API数据传输 +20

company_size/industry/current_tools/regulatory_requirements等企业敏感信息发送至portal.toolweb.in

API密钥要求 +15

需要X-API-Key认证，用户需提供凭证给第三方服务

无代码执行 +-10

纯文档型技能，无本地代码执行能力

数据用途不明确 +10

文档未说明接收数据的存储、保留或二次使用政策

最关键的证据

中危数据外泄

强制外部API数据传输企业敏感信息

技能将用户输入的company_size、industry、current_tools、regulatory_requirements等企业安全信息通过POST请求发送至portal.toolweb.in服务器，包括安全工具配置、监管合规要求等敏感业务数据

SKILL.md:79

评估数据外传的必要性；考虑使用本地部署的NIST CSF映射工具替代；确认第三方服务的数据处理符合GDPR等行业合规要求

中危供应链

依赖外部商业API服务

技能功能完全依赖toolweb.in的外部API服务，无API可用时功能失效；服务条款和数据处理政策未在文档中明确说明

SKILL.md:75

评估对外部服务的依赖风险；考虑备选方案或本地部署；审查服务商的SLA和数据安全承诺

低危文档欺骗

API密钥处理方式不明确

文档说明API密钥通过X-API-Key header传递，但未说明密钥是否在客户端本地处理、是否会被记录或缓存

SKILL.md:89

确认API密钥的安全处理流程；避免在日志中记录密钥；考虑使用环境变量而非硬编码

声明能力 vs 实际能力

文件系统 通过

声明 NONE

→

推断 NONE

SKILL.md - 无文件操作声明

网络访问 阻止

声明 READ

→

推断 WRITE

SKILL.md:79 - 向https://portal.toolweb.in发送POST请求

命令执行 通过

声明 NONE

→

推断 NONE

SKILL.md - 无shell执行声明

环境变量 通过

声明 NONE

→

推断 NONE

SKILL.md - 无环境变量访问声明

技能调用 通过

声明 NONE

→

推断 NONE

SKILL.md - 无子技能调用

剪贴板 通过

声明 NONE

→

推断 NONE

SKILL.md - 无剪贴板操作

浏览器 通过

声明 NONE

→

推断 NONE

SKILL.md - 无浏览器自动化

数据库 通过

声明 NONE

→

推断 NONE

SKILL.md - 无数据库操作

可疑产物与外联

中危外部 URL

https://portal.toolweb.in/apis/compliance/nist-csf-mapper

SKILL.md:119

中危外部 URL

https://toolweb.in

SKILL.md:146

中危外部 URL

https://portal.toolweb.in

SKILL.md:147

中危外部 URL

https://hub.toolweb.in

SKILL.md:148

中危外部 URL

https://toolweb.in/openclaw/

SKILL.md:149

中危外部 URL

https://rapidapi.com/user/mkrishna477

SKILL.md:150

中危外部 URL

https://youtube.com/@toolweb-009

SKILL.md:151

依赖与供应链

没有结构化依赖告警。

文件构成

1 个文件 · 151 行

Markdown 1 个文件 · 151 行

需关注文件 · 1

SKILL.md Markdown · 151 行

强制外部API数据传输企业敏感信息 · 依赖外部商业API服务 · API密钥处理方式不明确 · https://portal.toolweb.in/apis/compliance/nist-csf-mapper · https://toolweb.in · https://portal.toolweb.in · https://hub.toolweb.in · https://toolweb.in/openclaw/ · https://rapidapi.com/user/mkrishna477 · https://youtube.com/@toolweb-009

安全亮点

纯文档型技能，无本地代码执行能力

无文件、Shell、环境变量等系统资源访问

功能声明清晰，与实际行为一致

无混淆代码或隐藏执行逻辑