扫描报告
0 /100
paygreen
PayGreen payment processing platform integration via Membrane CLI
纯文档型PayGreen集成技能,仅通过Membrane CLI代理API请求,无代码执行,未声明行为,所有操作均有文档说明。
可以安装
无需干预,可安全使用。建议监控membranehq/cli依赖的已知漏洞。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | SKILL.md 全为文档说明,无文件读写代码 |
| 网络访问 | READ | READ | ✓ 一致 | membrane request 通过 Membrane 代理发送 HTTP 请求(文档 L95-113 明确声明) |
| 命令执行 | WRITE | WRITE | ✓ 一致 | npm install -g @membranehq/cli、membrane login/connect/action 等命令(文档 L28-45 声明) |
| 环境变量 | NONE | NONE | — | 无任何 os.environ / process.env 访问 |
| 数据库 | NONE | NONE | — | 无数据库操作代码 |
2 项发现
中危 外部 URL 外部 URL
https://getmembrane.com SKILL.md:7 中危 外部 URL 外部 URL
https://developers.paygreen.fr/ SKILL.md:19 目录结构
1 文件 · 4.2 KB · 121 行 Markdown 1f · 121L
└─
SKILL.md
Markdown
安全亮点
✓ 纯文档型技能,无代码文件,攻击面为零
✓ 文档完整覆盖所有声明的操作,无阴影功能
✓ 最佳实践明确:推荐通过Membrane预建actions而非自定义API调用
✓ 凭证管理由Membrane服务端处理,明确声明「never ask user for API keys」
✓ 使用browser-based OAuth登录(membrane login),无硬编码密钥
✓ 无npm install以外的依赖安装行为
✓ 无base64管道、eval、裸IP请求等高危模式