Pincushion

让利益相关方在在线应用上直接标注反馈，并供 AI 代理读取后修复问题。

来源

官方 Registry

更新于

2026-06-22

// 安全评估需留意

总评

基于现有材料，Pincushion 未声明需要密钥或远程端点，且来源于官方 Registry、开源且近期有维护，整体偏低风险。主要需留意的是其被标记为可执行代码的 MCP 工具，应按最小权限运行，并进一步核查其实际本地执行与数据访问范围。

凭证密钥低风险

材料明确标注“需要的密钥/环境变量：无”，未见要求 API key、token 或其他敏感凭证；从现有信息看，凭证泄露或滥用面较低。

网络外发低风险

材料标注“远程端点 host：无”，且未提供会把用户数据发送到第三方服务的说明；基于现有事实，未见明确的数据外发路径。

代码执行需留意

系统客观检查项包含 executes-code，说明该 MCP 工具具备本机执行代码/起进程能力；这属于此类工具的常规高权限特性，应以最小权限运行并核查实际可调用的系统能力。

数据访问需留意

描述称其让 AI coding agent 读取反馈并修复应用，结合 MCP 与代码执行能力，推定其可能接触项目代码或相关运行环境；但材料未具体说明读写哪些文件/资源，当前更适合列为需留意而非高风险。

来源供应链需留意

正面证据包括官方 Registry、开源仓库可审计、近一年内有更新；但 README 缺失、许可证未声明、社区采用度很低（0 star），使可审计上下文与生态验证仍然有限，建议在安装前检查源码与依赖清单。

安全建议

审计模型: gpt-5.4 · 2026-06-20

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "Pincushion" MCP 服务：
执行：claude mcp add io-github-jcooley8-pincushion -- npx -y pincushion-mcp

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

通过 MCP 读取并处理 AI 应用的界面反馈报告，帮助团队高效闭环问题。

帮助将 HTML 原型推送到 DesignPin 评审并收集团队反馈。