media-saber-zspace-monitor Security Report — Trusted | ClawSafe

5 /100

media-saber-zspace-monitor

实时监控极空间NAS系统状态、硬件健康、存储容量和性能指标

纯MCP监控技能，仅声明NAS状态读取，无本地执行脚本，文档完整透明，安全性良好

Skill Namemedia-saber-zspace-monitor

Duration26.0s

Enginepi

✓

Safe to install

无需修改，可安全使用

Findings 1 items

Severity	Finding	Location
Info	使用占位符示例密钥 SKILL.md:118 使用 'your-api-key-here' 作为 API_KEY 示例值，建议使用更明确的占位符如 '<YOUR_API_KEY>' 以避免误认为真实凭证 `export API_KEY="your-api-key-here"` → 将示例值改为 '<PLACEHOLDER_API_KEY>' 或 '<YOUR_API_KEY>' 以明确表示这是占位符	`SKILL.md:118`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	skill.json:runtime.auth 配置、Bearer Token 认证方式
Filesystem	`READ+WRITE`	`READ+WRITE`	✓ Aligned	~/.claw/mcpServers.json 配置文件读写，SKILL.md:88-93
Shell	`NONE`	`NONE`	—	无 scripts/ 目录，无 subprocess/eval 等代码
Environment	`READ`	`READ`	✓ Aligned	API_KEY/MCP_ENDPOINT_URL 环境变量读取用于认证
Database	`NONE`	`NONE`	—	无数据库访问

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your-api-key-here"

SKILL.md:118

🔗

Medium External URL 外部 URL

https://wiki.msaber.fun/usage/ai/mcp.html

skill.json:10

2 files · 17.6 KB · 595 lines

Markdown 1f · 499L JSON 1f · 96L

├─ 📋 skill.json JSON 96L · 2.5 KB

└─ 📝 SKILL.md Markdown 499L · 15.2 KB

✓ 纯 MCP 技能架构，无本地执行代码，攻击面极小

✓ 文档完整透明，声明了所有所需权限和网络连接

✓ 明确警告不要硬编码凭证，强调 API Key 敏感性

✓ 数据仅用于本地分析，不上报第三方统计

✓ 使用 Bearer Token 认证，非明文密钥传输

✓ 提供了详细的安全最佳实践和配置指南

✓ 支持最小权限原则，建议使用只读 API Key