安全决策报告
create-payment-credential
支付凭证技能,声明了宽泛的npm/npmx/npx shell权限,且会暴露原始信用卡号和CVC至多10分钟有效期,存在信息泄露风险。
为什么得出这个结论
0/4 个维度触发 通过
声明与实际能力
声明资源与推断能力基本一致。
复核
隐藏执行与外联
提取到 7 个一般风险产物,需要结合上下文判断。
通过
攻击链与高危发现
没有形成明确的恶意路径。
复核
依赖与供应链卫生
发现 1 项需要关注的依赖或供应链线索。
风险分是怎么被拉高的
allowed-tools权限声明宽泛 +15
Bash(npm:*)和Bash(npx:*)未限制具体命令,可执行任意npm/npx操作
敏感凭证暴露 +15
SKILL.md明确描述会输出原始卡号、CVC、有效期内无遮罩访问
无脚本代码审查 +10
无实际脚本文件,无法验证link-cli二进制行为,仅依赖文档声明
最关键的证据
中危 敏感访问
原始信用卡凭证明文输出
Step 5描述输出完整卡号(number)、CVC、有效期等敏感支付数据,虽建议显示时遮罩,但原始值仍被检索并可能在日志或响应中暴露
SKILL.md:115 修改流程,仅在用户明确请求时返回原始值,默认不输出
中危 权限提升
npm/npx权限声明过于宽泛
allowed-tools声明Bash(npm:*)和Bash(npx:*),未限制具体命令,理论上可执行npm install任意包、npm run任意脚本
SKILL.md:13 限制为Bash(npm:install @stripe/link-cli)或要求MCP server方式集成
低危 文档欺骗
依赖第三方二进制link-cli
技能实际能力完全依赖link-cli二进制,无法通过代码审查验证其行为,存在供应链信任风险
SKILL.md:8 优先使用MCP server方式减少shell命令暴露面
声明能力 vs 实际能力
命令执行 通过
声明 WRITE
→ 推断 WRITE
SKILL.md:allowed-tools声明Bash(link-cli:*),Bash(npx:*),Bash(npm:*) 文件系统 通过
声明 NONE
→ 推断 NONE
SKILL.md:无文件读写声明 网络访问 通过
声明 READ
→ 推断 READ
SKILL.md:描述与Stripe Link服务器交互获取凭证 可疑产物与外联
中危 外部 URL
https://link.com/agents SKILL.md:16
中危 外部 URL
https://link.com/download SKILL.md:154
中危 外部 URL
https://mpp.dev/protocol.md SKILL.md:195
中危 外部 URL
https://mpp.dev/protocol/http-402.md SKILL.md:195
中危 外部 URL
https://mpp.dev/protocol/challenges.md SKILL.md:195
中危 外部 URL
https://app.link.com SKILL.md:197
中危 外部 URL
https://support.link.com/topics/about-link SKILL.md:198
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| @stripe/link-cli | * | npm | 否 | 依赖npm install无版本锁定,供应链风险 |
文件构成
1 个文件 · 198 行
Markdown 1 个文件 · 198 行
需关注文件 · 1
SKILL.md 原始信用卡凭证明文输出 · npm/npx权限声明过于宽泛 · 依赖第三方二进制link-cli · https://link.com/agents · https://link.com/download · https://mpp.dev/protocol.md · https://mpp.dev/protocol/http-402.md · https://mpp.dev/protocol/challenges.md · https://app.link.com · https://support.link.com/topics/about-link
安全亮点
文档清晰描述了支付流程和错误处理
有测试模式(--test)支持开发调试
强调尊重站点/llm.txt指令
警告钓鱼风险,要求验证merchant域名
明确标注一次性token和有效期限制