greythr 安全扫描报告 — 可信 | ClawSafe

5 /100

greythr

GreytHR integration - 通过 Membrane CLI 管理员工数据、记录和工作流自动化

纯文档型 GreytHR 集成技能，仅包含 SKILL.md，无代码脚本，声明功能与用途一致，使用 Membrane CLI 进行标准化交互

技能名称greythr

分析耗时26.5s

引擎pi

✓

可以安装

可安全使用。如需更高安全保障，可考虑在沙箱环境中测试 Membrane CLI 的实际行为

安全发现 2 项

严重性	安全发现	位置
低危	使用闭源第三方 CLI @membranehq/cli 是闭源工具，其实际行为无法通过静态代码审计验证。虽然 SKILL.md 声称凭证服务器端管理，但这是基于信任而非可验证的安全保证 `npm install -g @membranehq/cli` → 如需最高安全保障，可要求 Membrane 提供第三方安全审计报告，或使用开源替代方案	`SKILL.md:28`
提示	纯文档型技能包此技能包仅包含 SKILL.md 文档，无可执行的代码脚本，无法进行静态代码审计 `无` → 确认这是预期形态（文档型技能包不需要代码审计）	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md 未声明文件系统写入，仅通过 npm 安装 CLI
网络访问	`READ`	`READ`	✓ 一致	SKILL.md 明确声明需要与 Membrane 服务和 GreytHR API 通信
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:1 声明 npm install -g CLI 工具；SKILL.md:25-33 声明 membrane 命令执行

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://help.greytip.com/en/

SKILL.md:19

1 文件 · 4.4 KB · 128 行

Markdown 1f · 128L

└─ 📝 SKILL.md Markdown 128L · 4.4 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`latest`	npm	否	闭源工具，无法进行依赖漏洞扫描

✓ 无脚本代码，无法在本地执行任意恶意操作

✓ SKILL.md 文档完整，声明了所有需要的能力（npm 安装、membrane CLI 调用）

✓ Membrane CLI 声称凭证服务器端管理，不在本地存储密钥

✓ 文档明确说明最佳实践：优先使用预建 actions 而非直接 API 调用

✓ 未发现 base64 管道、eval()、裸 IP 连接等高危指标