whosonlocation 安全扫描报告 — 低风险 | ClawSafe

20 /100

whosonlocation

WhosOnLocation 访客管理系统集成，通过 Membrane CLI 管理数据、记录和工作流自动化

纯文档型技能，仅通过 Membrane CLI 与 WhosOnLocation API 交互，凭证由 Membrane 服务器端管理，无本地脚本执行

技能名称whosonlocation

分析耗时33.7s

引擎pi

✓

可以安装

可安全使用，建议验证 npm 安装的 CLI 版本与官方一致

安全发现 3 项

严重性	安全发现	位置
低危	npm 全局安装第三方 CLI 技能要求执行 npm install -g @membranehq/cli 安装 Membrane CLI 工具。虽为合法集成工具，但全局安装增加攻击面 `npm install -g @membranehq/cli` → 验证 @membranehq/cli 来源可信（membranehq 官方包），建议记录版本号	`SKILL.md:26`
提示	凭证管理设计良好技能明确要求通过 Membrane 连接管理凭证，而非要求用户提供 API 密钥，符合安全最佳实践 `Let Membrane handle credentials — never ask the user for API keys or tokens` → 保持此设计模式	`SKILL.md:97`
提示	优先使用预构建 actions 文档鼓励优先使用 membrane action list/run 而非直接 API 调用，减少错误和安全风险 `Always prefer Membrane to talk with external apps` → 保持此推荐架构	`SKILL.md:75`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	无文件操作代码
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:55-73 通过 membrane request 代理 API 请求
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:26 npm install -g @membranehq/cli
环境变量	`NONE`	`NONE`	—	文档明确建议 Let Membrane handle credentials，避免本地密钥
技能调用	`NONE`	`NONE`	—	无子技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	认证通过 membrane login 浏览器弹窗完成，无持久浏览器控制
数据库	`NONE`	`NONE`	—	无数据库操作

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://help.whosonlocation.com/

SKILL.md:19

1 文件 · 4.7 KB · 134 行

Markdown 1f · 134L

└─ 📝 SKILL.md Markdown 134L · 4.7 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`latest`	npm	否	全局安装，官方 Membrane SDK，无版本锁定

✓ 纯文档型技能，无本地执行脚本，无阴影功能

✓ 凭证管理由 Membrane 服务器端处理，无本地密钥存储

✓ 文档清晰声明所有操作意图，无文档-行为差异

✓ 推荐最佳实践：优先使用预构建 actions 而非原始 API

✓ 无敏感文件访问（.env、.ssh、.aws 等）

✓ 无数据外泄通道

✓ 无凭证收割行为