任意コード実行のリスク
ルール解析エンジンに脆弱性がある場合や、ルールをテストするためにコードを実行する場合にリスクがある。
外部通信
Firestoreのセキュリティルールを取得するためにFirebase/Google Cloud APIとの通信が必須。悪意のあるエンドポイントへのデータ送信リスクがある。
シークレット/認証情報へのアクセス
Firebaseプロジェクトへのアクセスには認証情報(サービスアカウントキーなど)が必要であり、窃取されるリスクが非常に高い。
ファイルシステムへの広範なアクセス
ルールファイルの読み込みや監査レポートの書き出しを行う可能性があり、機密情報の漏洩や改ざんのリスクがある。
環境変数の読み取り・書き換え
Firebase認証情報が環境変数から読み取られる可能性が高く、悪用されるリスクがある。
サプライチェーンリスク
作者不明、ダウンロード数0。Firebase関連を装った悪意のあるスキルの可能性が高く、信頼性は皆無。
