codesee 安全扫描报告 — 低风险 | ClawSafe

10 /100

codesee

CodeSee integration for visualizing and understanding codebases

CodeSee 集成技能，文档型 skill，无实际代码文件，仅声明使用 Membrane CLI 进行 CodeSee API 操作，权限声明与声称功能一致，无恶意行为发现。

技能名称codesee

分析耗时25.9s

引擎pi

✓

可以安装

该 skill 安全性良好，建议保持当前文档化模式，无需额外安全加固。

安全发现 2 项

严重性	安全发现	位置
低危	权限声明宽泛 metadata 中未声明 allowed-tools，仅在文档中提及需要 network access 和 npm install `compatibility: Requires network access and a valid Membrane account` → 建议在 metadata 中补充 allowed-tools 声明以提高透明度	`SKILL.md:2`
提示	依赖第三方 CLI 工具技能依赖 @membranehq/cli 进行所有操作，Membrane CLI 处理认证和 API 请求 `npm install -g @membranehq/cli` → Membrane CLI 为标准 npm 包，来源可靠，风险可控	`SKILL.md:35`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	SKILL.md:35 npm install -g @membranehq/cli 需文件系统写入权限
网络访问	`READ`	`WRITE`	✓ 一致	SKILL.md:60 membrane request 用于 API 调用
命令执行	`NONE`	`WRITE`	✓ 一致	SKILL.md:35 npm install 全局安装

2 项发现

🔗

中危外部 URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

中危外部 URL 外部 URL

https://docs.codesee.io/

SKILL.md:19

1 文件 · 4.3 KB · 125 行

Markdown 1f · 125L

└─ 📝 SKILL.md Markdown 125L · 4.3 KB

包名	版本	来源	已知漏洞	备注
`@membranehq/cli`	`latest`	npm	否	全局安装 Membrane CLI，标准 npm 包

✓ 纯文档型 skill，无自定义代码执行，风险面积极小

✓ 使用 Membrane 管理认证生命周期，避免本地存储敏感凭证

✓ 文档明确建议使用官方 pre-built actions 而非 raw API 调用

✓ 明确声明不索取用户 API keys，通过连接器方式处理认证