pitchly 安全扫描报告 — 低风险 | ClawSafe

5 /100

pitchly

Pitchly integration. Manage data, records, and automate workflows.

纯文档型技能，仅包含 Membrane CLI 操作 Pitchly 的使用说明，无脚本代码，无越权行为。

技能名称pitchly

分析耗时18.9s

引擎pi

✓

可以安装

无需阻止使用。审查通过。

安全发现 1 项

严重性	安全发现	位置
低危	npm 全局安装无版本锁定 SKILL.md 建议 `npm install -g @membranehq/cli` 未指定版本，理论上可拉取未来任意版本，存在供应链风险 `npm install -g @membranehq/cli` → 建议固定版本：npm install -g @membranehq/cli@latest 或指定版本号	`SKILL.md:17`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md: 通过 Membrane CLI 代理 API 请求到 pitchly.com
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md: npm install -g, membrane login, membrane action run 等命令

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://pitchly.com/api/

SKILL.md:19

1 文件 · 4.4 KB · 126 行

Markdown 1f · 126L

└─ 📝 SKILL.md Markdown 126L · 4.4 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`latest (unpinned)`	npm	否	未锁定版本，存在供应链风险但无已知漏洞

✓ 纯文档型技能，无可执行代码，安全面积极小

✓ 明确声明依赖 Membrane CLI，无隐藏行为

✓ 凭证管理通过 Membrane 服务端完成，不在本地存储密钥

✓ 文档建议通过官方代理 API 而非直接暴露 API 密钥

✓ 无环境变量遍历、无敏感路径访问、无数据外传