扫描报告
5 /100
respondio
Respond.io messaging platform integration via Membrane CLI
纯文档型 Respond.io 集成技能,仅包含 SKILL.md,无可执行脚本,所有操作通过官方 Membrane CLI 框架执行,风险极低。
可以安装
无需修改。安装 Membrane CLI 时验证包签名,确保来源可信。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:35 运行 npm install 命令 |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:57 通过 membrane 代理 API 请求 |
| 文件系统 | NONE | NONE | — | 无文件操作 |
| 环境变量 | NONE | NONE | — | 无环境变量访问 |
| 凭证收割 | NONE | NONE | — | 文档明确说明 Let Membrane handle credentials |
2 项发现
中危 外部 URL 外部 URL
https://getmembrane.com SKILL.md:7 中危 外部 URL 外部 URL
https://developers.respond.io/api/v2 SKILL.md:19 目录结构
1 文件 · 4.4 KB · 128 行 Markdown 1f · 128L
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@membranehq/cli | latest | npm | 否 | 全局安装,版本非锁定,建议验证包签名 |
安全亮点
✓ 纯文档型技能,无可执行代码,无阴影功能
✓ 文档-行为完全一致,所有操作都在文档中声明
✓ 明确推荐使用 Membrane 处理凭证,不本地存储密钥
✓ 所有 API 交互通过 membrane 代理,凭证生命周期由服务端管理
✓ 建议优先使用预建 actions 而非原始 API 调用,降低风险
✓ 无 base64 编码、eval 执行、敏感路径访问等高危指标