Skill Trust Decision
mindkeeper
该技能本质上是合法的记忆系统引导工具,但 qmd-setup.md 参考文档中包含危险 curl|bash 远程脚本执行指令,存在文档欺骗风险(未声明可触发远程执行)。
Most direct threat evidence
01
用户读取 SKILL.md 了解记忆系统功能 Entry · SKILL.md
02
用户按文档指引阅读 qmd-setup.md 配置 QMD 搜索 Entry · references/qmd-setup.md
03
文档第 39 行触发 curl|bash 管道,远程执行脚本 Escalation · references/qmd-setup.md
Why this conclusion was reached
3/4 dimensions flagged Block
Declared vs actual capability
2 undeclared or violating capabilities were inferred.
Block
Hidden execution and egress
1 high-risk artifacts or egress signals were extracted.
Block
Attack chain and severe findings
The report includes 4 attack-chain steps and 1 severe findings.
Review
Dependencies and supply chain hygiene
2 dependency or supply-chain issues need attention.
Attack Chain
01
用户读取 SKILL.md 了解记忆系统功能
Entry · SKILL.md:1
02
用户按文档指引阅读 qmd-setup.md 配置 QMD 搜索
Entry · references/qmd-setup.md:1
03
文档第 39 行触发 curl|bash 管道,远程执行脚本
Escalation · references/qmd-setup.md:39
04
攻击者可篡改参考文档注入恶意 curl 命令,数据外泄或 RCE
Impact · references/qmd-setup.md:39
What drove the risk score up
文档中未声明的远程脚本执行 +20
references/qmd-setup.md:39 包含 curl -fsSL https://bun.sh/install | bash,未在 SKILL.md 中声明
危险 shell 命令模式 +10
curl|bash 管道是已知 RCE 攻击向量,虽为官方源但未标注风险
外部工具依赖未声明 +5
QMD 为第三方工具,其安装过程的安全影响未在主文档中说明
Most important evidence
High Doc Mismatch
文档未声明可触发远程脚本执行
SKILL.md 主文档声明该技能仅用于记忆系统引导,未提及可触发远程脚本下载安装。但 qmd-setup.md 参考文档第 39 行包含 curl -fsSL https://bun.sh/install | bash,攻击者可能通过修改该参考文档注入恶意指令。
references/qmd-setup.md:39 将 curl|bash 管道替换为分步安装指令,或使用 bun install 包管理器。参考文档应标注该操作需要用户手动确认,并提供替代方案。
Medium Supply Chain
第三方工具依赖无版本锁定
qmd-setup.md 引用 @tobilu/qmd 和 bun.sh,均为外部依赖。无版本锁定、无哈希校验,用户可能收到被篡改的版本。
references/qmd-setup.md:14 锁定依赖版本(如 @tobilu/[email protected]),提供官方校验方式。
Low Sensitive Access
scripts 目录未对 workspace 外路径访问
setup.sh 仅操作传入的 $WORKSPACE 路径及其子目录,未访问 ~/.ssh、~/.aws 等敏感路径。
scripts/setup.sh:1 保持当前作用域限制,避免引入对用户主目录的广泛访问。
Declared capability vs actual capability
Filesystem Pass
Declared WRITE
→ Inferred WRITE
setup.sh 创建 life/, memory/, transcripts/ 等目录,仅操作 workspace 路径 Shell Block
Declared NONE
→ Inferred WRITE
references/qmd-setup.md:39 包含远程脚本执行,SKILL.md 未声明 shell 权限 Network Block
Declared NONE
→ Inferred READ
qmd-setup.md 引用外部 URL 下载工具,未声明 Suspicious artifacts and egress
Critical Dangerous Command
curl -fsSL https://bun.sh/install | bash references/qmd-setup.md:39
Medium External URL
https://bun.sh/install references/qmd-setup.md:39
Dependencies and supply chain
| Package | Version | Source | Known vuln | Notes |
|---|---|---|---|---|
| @tobilu/qmd | * | npm | No | 无版本锁定,为第三方工具 |
| bun | * | curl|bash | No | 通过远程脚本安装,无哈希校验 |
File composition
12 files · 987 lines
Markdown 11 files · 794 linesShell 1 files · 193 lines
Files of concern · 2
scripts/setup.sh scripts 目录未对 workspace 外路径访问
references/qmd-setup.md 文档未声明可触发远程脚本执行 · 第三方工具依赖无版本锁定 · curl -fsSL https://bun.sh/install | bash · https://bun.sh/install
Other files · SKILL.md · consolidation.md · transcripts.md · sign-off.md · memory.md · decision.md +4
Security positives
setup.sh 使用 set -euo pipefail,错误处理规范
setup.sh 为幂等设计,不会覆盖已存在文件
无凭证收割、无环境变量遍历、无 base64 混淆
transcripts/ 目录配置了 .gitignore 防止敏感数据提交
MEMORY.md 模板中包含安全规则(never exfiltrate private data)