任意コード実行のリスク
skills.sh形式のシェルスクリプトであり、Vue関連の操作(プロジェクト作成、ビルド、依存関係管理など)はシステムコマンドの実行を伴うため、入力内容や内部処理によっては任意コード実行のリスクが極めて高い。
外部通信
パッケージのダウンロード、更新チェック、外部サービスとの連携など、外部通信を行う可能性が高い。
シークレット/認証情報へのアクセス
パッケージレジストリやデプロイサービスとの連携時に認証情報を扱う可能性があり、漏洩リスクがある。
ファイルシステムへの広範なアクセス
プロジェクトの作成、ファイルの変更、ビルド成果物の生成など、広範なファイルシステムアクセスが必要となる。悪意のあるスクリプトであれば、重要ファイルの読み書き・削除を行うリスクがある。
環境変数の読み取り・書き換え
ビルドプロセスなどで環境変数を読み書きする可能性が高い。悪意のあるスクリプトであれば、機密情報の窃取やシステム設定の改ざんを行うリスクがある。
プロンプトインジェクションのリスク
プロジェクト名やコンポーネント名などのユーザー入力が適切にサニタイズされない場合、コマンドインジェクションのリスクがある。
サプライチェーンリスク
作者不明、DL数0、詳細不明なソースであるため、信頼性が全くなく、悪意のあるコードが含まれている可能性が極めて高い。説明に著名な開発者の名前があるにも関わらず作者が不明な点は特に疑わしい。
