任意コード実行のリスク
ソースがskills.sh(シェルスクリプト)であり、内容が不明なため、任意のコマンド実行が可能なリスクが高い。
外部通信
Next.js/Vercel関連機能は外部APIとの通信を伴う可能性が高いが、通信内容や送信データが不明。
シークレット/認証情報へのアクセス
外部サービス連携にAPIキー等の認証情報が必要となる可能性があり、その取り扱いが不明。
ファイルシステムへの広範なアクセス
キャッシュ機能はファイルシステムへの読み書きを伴う可能性が高く、その範囲が不明。
環境変数の読み取り・書き換え
シェルスクリプトであり、環境変数の読み書きが可能。認証情報などが含まれる可能性。
プロンプトインジェクションのリスク
作者不明のため、スキル自体が悪意ある指示を含む、またはユーザープロンプトを悪用する可能性。
サプライチェーンリスク
作者不明、DL数0、ソースコード未検証のため、悪意のあるコードが含まれる可能性が高い。
