firmis-scanner

Name: firmis-scanner
Rating: 1.8 (1 reviews)
Author: Firmislabs

by Firmislabs·★ 0·综合分 36

Firmis 是一个安全扫描器，可检测 Claude 技能、MCP 服务器和其他 AI 代理平台中的恶意行为。

securitydeveloper-toolsai-llm

Forks

活跃 Issue

本月

概述

Firmis 提供 AI 代理的运行时安全扫描，保护用户免受凭证收集、提示注入、工具中毒等 18 种其他威胁类别的攻击。它同时扫描代码表面（代理代码实际执行的操作）和指令表面（SKILL.md 和工具描述告诉代理执行的操作）。该工具可以作为独立扫描器使用，通过 MCP 集成到 Claude Desktop 中，或嵌入到 CI/CD 管道并生成 SARIF 报告。

试试问 AI

装完之后，这里有 5 个你可以让 AI 做的事：

你:在集成 MCP 服务器前扫描以发现安全漏洞

你:通过扫描已安装的技能和工具为 Claude Desktop 添加安全层

你:将安全扫描集成到 AI 代理项目的 CI/CD 管道中

你:它是免费的吗？

你:什么是工具中毒？

什么时候选它

当您需要对多个AI代理平台（MCP、Claude技能、Codex插件等）进行安全扫描，并且希望使用基于确定性规则的AI模型分析而不需要AI模型推理时，选择Firmis。

什么时候不要选它

如果您需要监控已部署代理的运行时行为（Firmis专注于预部署扫描），或者需要AI驱动的漏洞分析（这是付费功能），则不要选择Firmis。

此 server 暴露的工具

从 README 抽取出 3 个工具

firmis_scan
Scan AI agent projects for security threats
firmis_discover
Discover supported platforms and configurations
firmis_report
Generate security reports

可对比工具

mcp-scaninjecagentmcp-safetybench

安装

**零安装扫描**：

``bash npx firmis-cli scan ``

**全局安装**：

``bash npm install -g firmis-cli firmis scan ``

Claude Desktop 集成

添加到您的 MCP 配置中：

{
  "mcpServers": {
    "firmis": {
      "command": "npx",
      "args": ["-y", "firmis-cli", "--mcp"]
    }
  }
}

这将提供 firmis_scan、firmis_discover 和 firmis_report 工具。

FAQ

它是免费的吗？: 是的。该扫描器是免费、开源的（Apache-2.0），无需账户。运行 `npx firmis-cli scan` — 无限扫描，所有规则，HTML + JSON + SARIF 报告。
什么是工具中毒？: 工具中毒是指 MCP 服务器在工具描述中嵌入隐藏指令以劫持您的 AI 代理。研究表明，攻击成功率为 72.8%。Firmis 会检测已知的攻击模式、隐藏的 Unicode 字符、描述与行为不匹配以及提示覆盖尝试。

firmis-scanner 对比

firmis-scanner vs ultimate_mcp_server firmis-scanner vs mcp-server-chart firmis-scanner vs everything firmis-scanner vs filesystem firmis-scanner vs time

GitHub →

最后更新于 2026-05-17 · 由 README + GitHub 公开数据自动生成。