中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
vtex
VTEX integration — manage data, records, and automate workflows via Membrane CLI
纯文档型 skill,仅依赖官方 Membrane CLI 与 VTEX API 交互,无脚本无依赖,无越权行为。
Skill Namevtex
Duration25.0s
Enginepi
Safe to install
可直接使用。建议在生产环境锁定 CLI 版本(@membranehq/[email protected])以符合最小权限原则。

Findings 1 items

Severity Finding Location
Low
CLI 安装命令无版本锁定
文档中 `npm install -g @membranehq/cli` 未指定版本(如 @x.y.z),可能安装到含恶意代码的 future 版本
npm install -g @membranehq/cli
→ 固定版本:`npm install -g @membranehq/cli@latest` 或明确版本号
 SKILL.md:35
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE SKILL.md 无任何文件读写操作
Network READ READ ✓ Aligned SKILL.md:67 通过 membrane request 代理 VTEX API 请求,符合声明
Shell WRITE WRITE ✓ Aligned SKILL.md:35 npm install -g @membranehq/cli; SKILL.md:38 membrane login; SKILL.md…
Environment NONE NONE SKILL.md 未涉及环境变量遍历
Skill Invoke NONE NONE 无跨 skill 调用
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 仅通过 membrane CLI 触发浏览器认证窗口,非直接浏览器自动化
Database NONE NONE 无数据库操作
2 findings
🔗
Medium External URL 外部 URL
https://getmembrane.com
SKILL.md:7
🔗
Medium External URL 外部 URL
https://developers.vtex.com/
SKILL.md:19

File Tree

1 files · 4.3 KB · 125 lines
Markdown 1f · 125L
└─ 📝 SKILL.md Markdown 125L · 4.3 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
@membranehq/cli * npm No 全局安装,版本未锁定

Security Positives

✓ 纯文档型 skill,无代码文件,无运行时风险
✓ 凭证管理完全委托给 Membrane(server-side),skill 不接触原始 API 密钥
✓ 声明权限(network:READ, shell:WRITE)与实际行为一致
✓ 文档明确禁止收集用户 API 密钥(best practices 强调通过 connection 而非 key)
✓ 无外部 URL 作为脚本来源,无 eval/bash 管道,无敏感路径访问