扫描报告
5 /100
proofpoint
Proofpoint 集成 - 通过 Membrane CLI 管理数据、记录和自动化工作流
纯文档型 Proofpoint 集成技能,无可执行代码,凭证由 Membrane 服务器端管理,声明权限与实际能力一致
可以安装
可安全使用。建议在生产环境中固定 Membrane CLI 版本以确保一致性
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | CLI 版本未锁定 | SKILL.md:42 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:42 - membrane 命令行调用 |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:80 - 通过 Membrane 代理与 Proofpoint API 通信 |
| 文件系统 | NONE | NONE | — | 无文件读写操作 |
| 环境变量 | NONE | NONE | — | 文档明确禁止本地存储凭证,由 Membrane 代管 |
2 项发现
中危 外部 URL 外部 URL
https://getmembrane.com SKILL.md:7 中危 外部 URL 外部 URL
https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation SKILL.md:19 目录结构
1 文件 · 4.4 KB · 126 行 Markdown 1f · 126L
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@membranehq/cli | latest | npm | 否 | 版本未锁定,属于 CLI 工具的常见做法 |
安全亮点
✓ 纯文档技能,无本地可执行代码,消除代码注入风险
✓ 凭证管理由 Membrane 服务器端处理,本地无敏感数据存储
✓ 文档明确禁止询问用户 API 密钥,强调安全实践
✓ 所有网络请求通过 Membrane 代理,支持透明凭证刷新
✓ 鼓励使用预建 actions 而非原始 API 调用,减少攻击面
✓ 声明的功能范围与实际能力一致,无越权行为