codeq-natural-language-processing-api 安全扫描报告 — 可信 | ClawSafe

5 /100

codeq-natural-language-processing-api

Codeq Natural Language Processing API integration via Membrane CLI

纯文档型技能，仅包含 SKILL.md，无可执行代码，所有操作通过官方 Membrane CLI 实现，安全可信。

技能名称codeq-natural-language-processing-api

分析耗时31.4s

引擎pi

✓

可以安装

无需阻止使用。建议在生产环境中验证 Membrane CLI 来源可信即可。

安全发现 3 项

严重性	安全发现	位置
低危	缺少 allowed-tools 声明 SKILL.md 文档未明确声明 allowed-tools 字段，但功能边界清晰（仅通过 membrane CLI 操作） `--- ... metadata: {version: '1.0'}` → 建议补充 allowed-tools 声明：network:READ, shell:WRITE	`SKILL.md:1`
提示	使用 npm 全局安装 CLI 工具通过 npm install -g 安装 @membranehq/cli，属于标准安装方式 `npm install -g @membranehq/cli` → 无风险，属于正常开发工具安装	`SKILL.md:24`
提示	凭证管理由 Membrane 平台处理文档明确说明 'never ask the user for API keys'，认证通过 OAuth 浏览器流程完成 `Let Membrane handle credentials — never ask the user for API keys` → 良好安全实践	`SKILL.md:94`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:43 - membrane request 用于代理 API 请求
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:24 - npm install -g @membranehq/cli
环境变量	`NONE`	`NONE`	—	N/A - 无环境变量访问
文件系统	`NONE`	`NONE`	—	N/A - 无直接文件操作

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://codeq.ai/docs/

SKILL.md:19

1 文件 · 4.9 KB · 132 行

Markdown 1f · 132L

└─ 📝 SKILL.md Markdown 132L · 4.9 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`latest`	npm	否	官方 CLI 工具，通过 npm 全局安装

✓ 纯文档技能，无代码执行风险

✓ 所有操作通过官方 membrane CLI 实现，非自定义脚本

✓ 凭证管理由平台服务端处理，无本地密钥存储

✓ 明确反对直接询问用户 API 密钥

✓ 功能边界清晰，文档描述与能力匹配

✓ 无 base64、eval、远程脚本下载等高危模式

✓ 无敏感路径访问（~/.ssh、~/.aws、.env）