whosonlocation Security Report — Low Risk | ClawSafe

20 /100

whosonlocation

WhosOnLocation 访客管理系统集成，通过 Membrane CLI 管理数据、记录和工作流自动化

纯文档型技能，仅通过 Membrane CLI 与 WhosOnLocation API 交互，凭证由 Membrane 服务器端管理，无本地脚本执行

Skill Namewhosonlocation

Duration33.7s

Enginepi

✓

Safe to install

可安全使用，建议验证 npm 安装的 CLI 版本与官方一致

Findings 3 items

Severity	Finding	Location
Low	npm 全局安装第三方 CLI 技能要求执行 npm install -g @membranehq/cli 安装 Membrane CLI 工具。虽为合法集成工具，但全局安装增加攻击面 `npm install -g @membranehq/cli` → 验证 @membranehq/cli 来源可信（membranehq 官方包），建议记录版本号	`SKILL.md:26`
Info	凭证管理设计良好技能明确要求通过 Membrane 连接管理凭证，而非要求用户提供 API 密钥，符合安全最佳实践 `Let Membrane handle credentials — never ask the user for API keys or tokens` → 保持此设计模式	`SKILL.md:97`
Info	优先使用预构建 actions 文档鼓励优先使用 membrane action list/run 而非直接 API 调用，减少错误和安全风险 `Always prefer Membrane to talk with external apps` → 保持此推荐架构	`SKILL.md:75`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	无文件操作代码
Network	`READ`	`READ`	✓ Aligned	SKILL.md:55-73 通过 membrane request 代理 API 请求
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:26 npm install -g @membranehq/cli
Environment	`NONE`	`NONE`	—	文档明确建议 Let Membrane handle credentials，避免本地密钥
Skill Invoke	`NONE`	`NONE`	—	无子技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	认证通过 membrane login 浏览器弹窗完成，无持久浏览器控制
Database	`NONE`	`NONE`	—	无数据库操作

2 findings

🔗

Medium External URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

Medium External URL 外部 URL

https://help.whosonlocation.com/

SKILL.md:19

1 files · 4.7 KB · 134 lines

Markdown 1f · 134L

└─ 📝 SKILL.md Markdown 134L · 4.7 KB

Package	Version	Source	Known Vulns	Notes
`@membranehq/cli`	`latest`	npm	No	全局安装，官方 Membrane SDK，无版本锁定

✓ 纯文档型技能，无本地执行脚本，无阴影功能

✓ 凭证管理由 Membrane 服务器端处理，无本地密钥存储

✓ 文档清晰声明所有操作意图，无文档-行为差异

✓ 推荐最佳实践：优先使用预构建 actions 而非原始 API

✓ 无敏感文件访问（.env、.ssh、.aws 等）

✓ 无数据外泄通道

✓ 无凭证收割行为