$ loading_
汇总多项代码审查与仓库检查结果,给出统一的合并放行结论。
该 MCP 工具整体未见明确高风险红旗:无密钥要求、未声明远程端点,且来自官方 Registry 并开源可审计。主要不确定性在于文档极少、功能边界不清,以及其具备本机执行代码能力,因此整体以低到中等留意为主。
材料明确标注无需密钥或环境变量,未见要求用户提供 API token、账号口令或其他敏感凭证,凭证泄露面较小。
未声明任何远程端点 host,材料中也未说明会向外部服务发送用户数据。基于现有信息,未见明确的数据外发路径,但文档不足使实际联网行为仍需安装后核验。
系统检查项已标注 executes-code,说明该工具具备在本机执行代码或起进程的能力。这属于 MCP 工具的常规高权限特性,本身不足以上升为高风险,但应在受限环境中运行并审查其实际调用范围。
描述仅称其为统一 merge gate,未提供 README,未清楚说明会读取哪些仓库、文件或上下文数据。按其功能名称推测可能接触代码库/合并相关信息,但材料未显示明显超范围授权;当前主要风险来自权限边界不透明。
正面因素包括官方 Registry 来源、开源仓库可审计、近一年内有更新;这些都明显降低了供应链风险。需留意的是 README 缺失、许可证未声明且社区采用度较低(0 star),因此可审计性虽有,但成熟度与外部验证有限。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.nugehs/gate" MCP 服务: 执行:claude mcp add io-github-nugehs-gate -- npx -y @nugehs/gate
为 AI 编码代理提供护栏,及时发现循环、回归与测试篡改风险