codeq-natural-language-processing-api Security Report — Trusted | ClawSafe

5 /100

codeq-natural-language-processing-api

Codeq Natural Language Processing API integration via Membrane CLI

纯文档型技能，仅包含 SKILL.md，无可执行代码，所有操作通过官方 Membrane CLI 实现，安全可信。

Skill Namecodeq-natural-language-processing-api

Duration31.4s

Enginepi

✓

Safe to install

无需阻止使用。建议在生产环境中验证 Membrane CLI 来源可信即可。

Findings 3 items

Severity	Finding	Location
Low	缺少 allowed-tools 声明 SKILL.md 文档未明确声明 allowed-tools 字段，但功能边界清晰（仅通过 membrane CLI 操作） `--- ... metadata: {version: '1.0'}` → 建议补充 allowed-tools 声明：network:READ, shell:WRITE	`SKILL.md:1`
Info	使用 npm 全局安装 CLI 工具通过 npm install -g 安装 @membranehq/cli，属于标准安装方式 `npm install -g @membranehq/cli` → 无风险，属于正常开发工具安装	`SKILL.md:24`
Info	凭证管理由 Membrane 平台处理文档明确说明 'never ask the user for API keys'，认证通过 OAuth 浏览器流程完成 `Let Membrane handle credentials — never ask the user for API keys` → 良好安全实践	`SKILL.md:94`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md:43 - membrane request 用于代理 API 请求
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:24 - npm install -g @membranehq/cli
Environment	`NONE`	`NONE`	—	N/A - 无环境变量访问
Filesystem	`NONE`	`NONE`	—	N/A - 无直接文件操作

2 findings

🔗

Medium External URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

Medium External URL 外部 URL

https://codeq.ai/docs/

SKILL.md:19

1 files · 4.9 KB · 132 lines

Markdown 1f · 132L

└─ 📝 SKILL.md Markdown 132L · 4.9 KB

Package	Version	Source	Known Vulns	Notes
`@membranehq/cli`	`latest`	npm	No	官方 CLI 工具，通过 npm 全局安装

✓ 纯文档技能，无代码执行风险

✓ 所有操作通过官方 membrane CLI 实现，非自定义脚本

✓ 凭证管理由平台服务端处理，无本地密钥存储

✓ 明确反对直接询问用户 API 密钥

✓ 功能边界清晰，文档描述与能力匹配

✓ 无 base64、eval、远程脚本下载等高危模式

✓ 无敏感路径访问（~/.ssh、~/.aws、.env）