media-saber-zspace-monitor 安全扫描报告 — 可信 | ClawSafe | ClawSafe

5 /100

media-saber-zspace-monitor

实时监控极空间NAS系统状态、硬件健康、存储容量和性能指标

纯MCP监控技能，仅声明NAS状态读取，无本地执行脚本，文档完整透明，安全性良好

技能名称media-saber-zspace-monitor

分析耗时26.0s

引擎pi

✓

可以安装

无需修改，可安全使用

安全发现 1 项

严重性	安全发现	位置
提示	使用占位符示例密钥 SKILL.md:118 使用 'your-api-key-here' 作为 API_KEY 示例值，建议使用更明确的占位符如 '<YOUR_API_KEY>' 以避免误认为真实凭证 `export API_KEY="your-api-key-here"` → 将示例值改为 '<PLACEHOLDER_API_KEY>' 或 '<YOUR_API_KEY>' 以明确表示这是占位符	`SKILL.md:118`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	skill.json:runtime.auth 配置、Bearer Token 认证方式
文件系统	`READ+WRITE`	`READ+WRITE`	✓ 一致	~/.claw/mcpServers.json 配置文件读写，SKILL.md:88-93
命令执行	`NONE`	`NONE`	—	无 scripts/ 目录，无 subprocess/eval 等代码
环境变量	`READ`	`READ`	✓ 一致	API_KEY/MCP_ENDPOINT_URL 环境变量读取用于认证
数据库	`NONE`	`NONE`	—	无数据库访问

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your-api-key-here"

SKILL.md:118

🔗

中危外部 URL 外部 URL

https://wiki.msaber.fun/usage/ai/mcp.html

skill.json:10

目录结构

2 文件 · 17.6 KB · 595 行

Markdown 1f · 499L JSON 1f · 96L

├─ 📋 skill.json JSON 96L · 2.5 KB

└─ 📝 SKILL.md Markdown 499L · 15.2 KB

安全亮点

✓ 纯 MCP 技能架构，无本地执行代码，攻击面极小

✓ 文档完整透明，声明了所有所需权限和网络连接

✓ 明确警告不要硬编码凭证，强调 API Key 敏感性

✓ 数据仅用于本地分析，不上报第三方统计

✓ 使用 Bearer Token 认证，非明文密钥传输

✓ 提供了详细的安全最佳实践和配置指南

✓ 支持最小权限原则，建议使用只读 API Key