mcp-scan

Name: mcp-scan
Rating: 1.6 (1 reviews)
Author: mltrev23

by mltrev23·★ 0·综合分 33

MCP-Scan 是一款安全工具，可静态和动态扫描 MCP 连接，检测提示注入和工具注入等漏洞。

securitydeveloper-toolsmonitoring

Forks

活跃 Issue

10 个月前

概述

MCP-Scan 在两种主要模式下工作：静态扫描已安装的 MCP 服务器，查找恶意工具描述和工具；通过代理实时监控 MCP 连接。它可以检测各种安全威胁，包括提示注入、工具注入攻击、有毒流和跨源升级尝试。该工具与 Invariant Guardrails 集成，提供可自定义的安全策略，可强制执行数据流约束、PII 检测和自定义验证规则。

试试问 AI

装完之后，这里有 5 个你可以让 AI 做的事：

你:在生产环境部署前对 MCP 服务器进行安全审计

你:在开发和测试环境中实时监控 MCP 流量

你:对 MCP 工具调用和响应实施自定义安全策略

你:MCP-Scan 可以检测哪些类型的漏洞？

你:MCP-Scan 是否会将我的数据共享给外部服务？

什么时候选它

当你需要验证 MCP 连接的安全性或对 MCP 工具使用实施运行时防护策略时，选择 MCP-Scan。

什么时候不要选它

如果你不想与外部服务共享工具描述（即使有选择退出选项），或者需要超出安全扫描范围的高级功能，应避免使用。

此 server 暴露的工具

从 README 抽取出 4 个工具

scan
Scan MCP configurations for security vulnerabilities in tools, prompts, and resources
proxy
Run a proxy server to monitor and guardrail system-wide MCP traffic in real-time
inspect
Print descriptions of tools, prompts, and resources without verification
whitelist
Manage the whitelist of approved entities for MCP tools, prompts, and resources

说明：Tools extracted from CLI command structure, as the README doesn't explicitly document MCP tools but rather CLI commands that would interact with MCP tools

可对比工具

mcp-security-auditmcp-guardinvariant-gateway

安装

通过 pip 安装：

pip install mcp-scan

快速使用：

uvx mcp-scan@latest scan

作为代理使用：

mcp-scan proxy

FAQ

MCP-Scan 可以检测哪些类型的漏洞？: MCP-Scan 可以检测提示注入攻击、工具注入攻击、有毒流、跨源升级攻击和 MCP rug pull 攻击。它还可以检测和阻止工具输出中的 PII 和机密信息。
MCP-Scan 是否会将我的数据共享给外部服务？: 对于静态扫描，工具描述会与 Invariant Labs 共享，用于安全研究目的（不包括您的用户数据）。您可以使用 --opt-out 选项选择不共享。代理模式完全在本地运行，不需要外部 API 调用。

mcp-scan 对比

mcp-scan vs mcp-server-chart mcp-scan vs everything mcp-scan vs filesystem mcp-scan vs time mcp-scan vs sequentialthinking

GitHub →

最后更新于 2026-05-17 · 由 README + GitHub 公开数据自动生成。