mcpsec
by manthanghasadiya·★ 22·综合分 45
一个针对 MCP 服务器的安全扫描器和协议模糊测试工具,通过动态测试发现运行时漏洞。
概述
mcpsec 是专门为测试 MCP 服务器设计的 AI 驱动安全工具。它结合静态分析和动态运行时测试,以识别 SSRF、LFI、命令注入和其他漏洞。该工具已在真实的 MCP 服务器中发现多个关键 CVE,并通过扫描器、模糊测试器和 AI 生成的有效载荷提供全面的测试。它支持多种连接方式(stdio、HTTP),并通过 SARIF 输出与 CI/CD 管道良好集成。
试试问 AI
装完之后,这里有 7 个你可以让 AI 做的事:
什么时候选它
当您需要在部署前或开发过程中验证MCP服务器的安全状况,特别是处理敏感数据或与外部系统集成时,选择mcpsec。
什么时候不要选它
如果您需要通用安全扫描器或支持MCP以外协议的漏洞评估工具,不要选择mcpsec。
此 server 暴露的工具
从 README 抽取出 12 个工具scanScan MCP servers for security vulnerabilities via stdio or HTTP
auditPerform static analysis on MCP server source code
fuzzPerform protocol fuzzing on MCP servers to discover crashes
sqlScan MCP servers for SQL injection vulnerabilities
chainsDetect dangerous tool combinations in MCP servers
exploitStart an interactive exploitation session for MCP servers
rogue-serverRun a rogue MCP server for client-side testing
infoEnumerate the attack surface of an MCP server
setupConfigure AI provider settings for enhanced scanning
prompt-injectionScan for prompt injection vulnerabilities in tool descriptions
auth-auditAudit MCP servers for authentication issues
capability-escalationDetect undeclared capability abuse in MCP servers
说明:Inferred from CLI command examples and scanner descriptions in the README. The server appears to expose these as MCP tools based on command usage patterns.
可对比工具
安装
# 基本安装
pip install mcpsec
# 带 AI 功能的安装
pip install mcpsec[ai]
# 通过 Nix 安装
nix-shell # 基本版
nix-shell --arg withAll true # 所有可选依赖Claude Desktop 集成
添加到 Claude Desktop 的 claude_desktop_config.json:
{
"mcpServers": {
"mcpsec": {
"command": "python",
"args": ["-m", "mcpsec", "stdio"]
}
}
}FAQ
- mcpsec 与其他静态分析工具有何不同?
- mcpsec 专注于对实时服务器进行动态测试,证明可利用性而不仅仅是识别潜在漏洞。它还提供 AI 生成的有效载荷和全面的模糊测试功能。
- mcpsec 是否适用于所有 MCP 服务器?
- 是的,mcpsec 适用于任何通过 stdio 或 HTTP 实现标准协议的 MCP 服务器。它支持身份验证方法,并且可以自动发现本地服务器。
- 如何报告我用 mcpsec 发现的漏洞?
- mcpsec 提供负责任的披露选项。关键发现应首先报告给受影响的项目维护者,并在修复实施后协调公开披露。
mcpsec 对比
最后更新于 · 由 README + GitHub 公开数据自动生成。