MCPScan

概述

MCPScan 是首个专注于 MCP 服务器安全审计的工具，提供针对已知攻击向量的全面防护。它实现了 8 个检查类别，覆盖完整的 MCP 攻击面，包括工具污染、凭据泄露、RCE 向量和供应链漏洞。该工具支持多种传输协议（stdio、HTTP、SSE），并提供终端、JSON 和 SARIF 等多种输出格式，可与安全工作流无缝集成。

试试问 AI

装完之后，这里有 7 个你可以让 AI 做的事：

• scan

  Scans MCP servers for security vulnerabilities across stdio, HTTP, and SSE transports

  试试:Scan my Claude Desktop MCP server for security issues试试:Check the MCP server at http://localhost:3000/mcp for vulnerabilities试试:Run targeted checks for tool poisoning and credential leaks only
• discover

  Discovers MCP servers without running security scans

  试试:Discover all MCP servers in my Claude Desktop config试试:Find exposed MCP servers on my local network

说明：Tools inferred from CLI usage examples and command structure, as no explicit tool documentation section was found in the README.

可对比工具

安装

# 需要 Node.js ≥ 18
git clone https://github.com/sahiloj/MCPScan.git
cd MCPScan
npm install
npm run build

# 全局链接
npm link

# 随处运行
mcpscan --help

FAQ

MCPScan 可以审计哪些类型的 MCP 服务器？

MCPScan 可以审计 stdio、HTTP 和 SSE 传输的 MCP 服务器。它可以直接扫描服务器、从 AI 客户端配置扫描，或探测本地主机端口以发现暴露的服务器。

我可以将 MCPScan 集成到我的 CI/CD 流程中吗？

可以。MCPScan 支持 JSON 和 SARIF 输出格式，并根据严重性退出不同的代码（严重发现退出代码 2，高风险发现退出代码 1），便于集成到自动化安全工作流中。

MCPScan 多久更新一次新的漏洞检查？

MCPScan 基于新的研究和 CVE 积极维护更新。其架构允许轻松添加新的检查模块，随着新攻击向量的发现而扩展。

MCPScan 对比