扫描报告
5 /100
vtex
VTEX integration — manage data, records, and automate workflows via Membrane CLI
纯文档型 skill,仅依赖官方 Membrane CLI 与 VTEX API 交互,无脚本无依赖,无越权行为。
可以安装
可直接使用。建议在生产环境锁定 CLI 版本(@membranehq/[email protected])以符合最小权限原则。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | CLI 安装命令无版本锁定 | SKILL.md:35 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | SKILL.md 无任何文件读写操作 |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:67 通过 membrane request 代理 VTEX API 请求,符合声明 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:35 npm install -g @membranehq/cli; SKILL.md:38 membrane login; SKILL.md… |
| 环境变量 | NONE | NONE | — | SKILL.md 未涉及环境变量遍历 |
| 技能调用 | NONE | NONE | — | 无跨 skill 调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 仅通过 membrane CLI 触发浏览器认证窗口,非直接浏览器自动化 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
2 项发现
中危 外部 URL 外部 URL
https://getmembrane.com SKILL.md:7 中危 外部 URL 外部 URL
https://developers.vtex.com/ SKILL.md:19 目录结构
1 文件 · 4.3 KB · 125 行 Markdown 1f · 125L
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@membranehq/cli | * | npm | 否 | 全局安装,版本未锁定 |
安全亮点
✓ 纯文档型 skill,无代码文件,无运行时风险
✓ 凭证管理完全委托给 Membrane(server-side),skill 不接触原始 API 密钥
✓ 声明权限(network:READ, shell:WRITE)与实际行为一致
✓ 文档明确禁止收集用户 API 密钥(best practices 强调通过 connection 而非 key)
✓ 无外部 URL 作为脚本来源,无 eval/bash 管道,无敏感路径访问