ads-agent

MEDIUM W011: Third-party content exposure detected (indirect prompt injection risk).

• Third-party content exposure detected (high risk: 0.90). The skill explicitly reads third-party ad content via the MCP "meta-ads" tools (e.g., get_ad_creatives, get_ads, get_insights, get_campaigns), which fetch user-generated/advertiser content from Facebook/ad accounts that the agent is expected to read and analyze as part of its workflow, exposing it to untrusted third-party content and potential indirect prompt injection.

MEDIUM W009: Direct money access capability detected (payment gateways, crypto, banking).

• Direct money access detected (high risk: 1.00). Да. Навык явно предназначен для управления рекламными расходами и содержит специализированные инструменты для изменения бюджетов и управления кампаниями. В списке MCP-инструментов есть update_adset — "изменение бюджета, таргетинга", а в разделе "Dangerous операции" прямо указано "Изменение бюджетов". Также присутствуют create_campaign/create_adset и другие операции, которые прямо влияют на траты. Это не общий браузер/HTTP-интерфейс, а специализированный набор действий для управления рекламным бюджетом.