greythr Security Report — Trusted | ClawSafe

5 /100

greythr

GreytHR integration - 通过 Membrane CLI 管理员工数据、记录和工作流自动化

纯文档型 GreytHR 集成技能，仅包含 SKILL.md，无代码脚本，声明功能与用途一致，使用 Membrane CLI 进行标准化交互

Skill Namegreythr

Duration26.5s

Enginepi

✓

Safe to install

可安全使用。如需更高安全保障，可考虑在沙箱环境中测试 Membrane CLI 的实际行为

Findings 2 items

Severity	Finding	Location
Low	使用闭源第三方 CLI @membranehq/cli 是闭源工具，其实际行为无法通过静态代码审计验证。虽然 SKILL.md 声称凭证服务器端管理，但这是基于信任而非可验证的安全保证 `npm install -g @membranehq/cli` → 如需最高安全保障，可要求 Membrane 提供第三方安全审计报告，或使用开源替代方案	`SKILL.md:28`
Info	纯文档型技能包此技能包仅包含 SKILL.md 文档，无可执行的代码脚本，无法进行静态代码审计 `无` → 确认这是预期形态（文档型技能包不需要代码审计）	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 未声明文件系统写入，仅通过 npm 安装 CLI
Network	`READ`	`READ`	✓ Aligned	SKILL.md 明确声明需要与 Membrane 服务和 GreytHR API 通信
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:1 声明 npm install -g CLI 工具；SKILL.md:25-33 声明 membrane 命令执行

2 findings

🔗

Medium External URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

Medium External URL 外部 URL

https://help.greytip.com/en/

SKILL.md:19

1 files · 4.4 KB · 128 lines

Markdown 1f · 128L

└─ 📝 SKILL.md Markdown 128L · 4.4 KB

Package	Version	Source	Known Vulns	Notes
`@membranehq/cli`	`latest`	npm	No	闭源工具，无法进行依赖漏洞扫描

✓ 无脚本代码，无法在本地执行任意恶意操作

✓ SKILL.md 文档完整，声明了所有需要的能力（npm 安装、membrane CLI 调用）

✓ Membrane CLI 声称凭证服务器端管理，不在本地存储密钥

✓ 文档明确说明最佳实践：优先使用预建 actions 而非直接 API 调用

✓ 未发现 base64 管道、eval()、裸 IP 连接等高危指标