Skip to main content
Glama
deenesjakoruzh
goldmembrane

codesafer

by goldmembrane
OverviewSchemaRelated ServersScoreDiscussions
Local

CodeSafer (cleaner-code)

Escáner de seguridad de código por IA como servidor del Protocolo de Contexto de Modelo (MCP). Detecta amenazas ocultas en código generado por IA que los linters tradicionales pasan por alto.

npm license: ISC Node

Sitio web: codesafer.org  ·  Clientes MCP: Claude Code, Cursor, VS Code + Copilot, Cline

¿Por qué CodeSafer?

Los asistentes de codificación por IA generan código rápidamente, pero ¿quién lo revisa en busca de amenazas ocultas?

Los ataques recientes a la cadena de suministro demuestran que el código malicioso puede esconderse de formas que los revisores humanos y los linters tradicionales pasan por alto habitualmente:

  • Caracteres Unicode invisibles inyectados en identificadores (más de 30 variantes)

  • Ataques BiDi / Trojan Source que reordenan cómo se muestra el código frente a cómo se ejecuta (CVE-2021-42574)

  • Homoglifos — caracteres cirílicos que se hacen pasar por latinos (CVE-2021-42694)

  • Esteganografía Unicode estilo Glassworm que oculta cargas útiles en espacios en blanco

  • Puertas traseras en archivos de reglas plantadas en .cursorrules, CLAUDE.md y otros archivos de configuración de IA

  • Dependencias con typosquatting en package.json

  • Patrones de ofuscacióneval + base64, reverse shells, cargas útiles empaquetadas

CodeSafer busca todo esto antes de que el código se ejecute en su máquina.

Cómo funciona

CodeSafer se ejecuta como un servidor MCP local. Su cliente de IA (Claude Code, Cursor, etc.) llama a sus herramientas al revisar o generar código, y los hallazgos se devuelven en línea.

Detección híbrida:

  1. 8 escáneres de análisis estático — reglas deterministas para categorías de ataque conocidas (rápido, cero falsos negativos en los patrones que cubren).

  2. Análisis profundo con CodeBERT — el modelo transformer clasifica fragmentos de código como maliciosos/benignos con puntuaciones de confianza. Detecta patrones ofuscados o novedosos que las reglas estáticas pasan por alto.

Nada sale de su máquina. El análisis de IA se ejecuta localmente contra un servidor tokenizador.

Características

Capacidad

Detalles

Detección de caracteres invisibles

Más de 30 variantes Unicode, incluyendo espacio de ancho cero, separador de vocales mongol

BiDi / Trojan Source

Cobertura completa de CVE-2021-42574

Detección de homoglifos

Confusibles cirílicos/griegos/latinos (CVE-2021-42694)

Esteganografía Unicode

Cargas útiles en espacios en blanco estilo Glassworm

Puertas traseras en archivos de reglas

Escanea .cursorrules, CLAUDE.md, .claude/, reglas de Cursor

Escaneo de dependencias

Typosquatting + scripts de instalación sospechosos en package.json

Detección de ofuscación

eval + base64, reverse shells, cargas útiles empaquetadas

Análisis profundo de IA

Clasificador transformer CodeBERT con puntuaciones de confianza

Nativo MCP

6 herramientas MCP, transporte stdio

Local-first

No se sube código — se ejecuta completamente en su máquina

Herramientas MCP

CodeSafer expone seis herramientas a su cliente MCP:

Herramienta

Propósito

scan_file

Escanea un solo archivo en busca de patrones de código malicioso ocultos

scan_directory

Escanea recursivamente un directorio en todos los archivos fuente

scan_rules_file

Escanea un archivo de configuración/reglas de IA en busca de inyección de prompts y ataques de puerta trasera en archivos de reglas

check_dependencies

Comprueba package.json en busca de typosquatting, scripts de instalación sospechosos y riesgos de dependencias

ai_analyze

Análisis profundo de IA utilizando el modelo entrenado CodeBERT (clasifica fragmentos como maliciosos/benignos con confianza)

explain_finding

Obtiene una explicación detallada de una categoría de amenaza específica, con escenarios de ataque y remediación

Instalación

Requisitos previos

  • Node.js 18 o posterior

  • Un cliente compatible con MCP (Claude Code, Cursor, VS Code + Copilot, Cline)

Desde el código fuente

git clone https://github.com/goldmembrane/cleaner-code.git
cd cleaner-code
npm install
npm run build

Configure su cliente MCP

Claude Code (~/.claude.json o .mcp.json del proyecto):

{
  "mcpServers": {
    "codesafer": {
      "command": "node",
      "args": ["/absolute/path/to/cleaner-code/dist/index.js"]
    }
  }
}

Cursor (.cursor/mcp.json):

{
  "mcpServers": {
    "codesafer": {
      "command": "node",
      "args": ["/absolute/path/to/cleaner-code/dist/index.js"]
    }
  }
}

Reinicie su cliente y las herramientas de CodeSafer aparecerán en el selector de herramientas.

Uso

Una vez configurado, pídale a su cliente de IA cosas como:

  • "Escanea este archivo en busca de problemas de seguridad ocultos."

  • "Comprueba las dependencias en package.json en busca de typosquatting."

  • "Escanea .cursorrules en busca de una puerta trasera en el archivo de reglas."

  • "Ejecuta un análisis profundo de IA de src/auth.ts."

  • "Explica qué es un ataque Trojan Source y cómo solucionar el hallazgo anterior."

El cliente llamará a la herramienta MCP adecuada y devolverá los hallazgos con la gravedad, los números de línea y la guía de remediación.

Nivel gratuito y planes

CodeSafer es de uso gratuito. El análisis estático (scan_file, scan_directory, scan_rules_file, check_dependencies, explain_finding) no tiene límites.

El análisis profundo de IA (ai_analyze) incluye 10 ejecuciones gratuitas por sesión. Hay planes de pago disponibles para cuotas de IA más altas en codesafer.org.

Categorías de detección

CodeSafer detecta amenazas en 9 categorías:

  1. Caracteres Unicode invisibles — más de 30 variantes, incluyendo espacio de ancho cero, unión de ancho cero

  2. Ataques BiDi / Trojan Source — CVE-2021-42574

  3. Homoglifos — caracteres cirílicos/griegos que se hacen pasar por latinos (CVE-2021-42694)

  4. Esteganografía Unicode — patrones Glassworm en espacios en blanco

  5. Puertas traseras en archivos de reglas — instrucciones maliciosas en .cursorrules, CLAUDE.md, etc.

  6. Riesgos de dependencias — typosquatting y scripts de instalación sospechosos

  7. Patrones de ofuscacióneval + base64, cargas útiles empaquetadas, reverse shells

  8. Hallazgos de análisis estático — 8 escáneres deterministas

  9. Análisis profundo de IA — CodeBERT transformer para amenazas novedosas y ofuscadas

Estructura del proyecto

cleaner-code/
├── src/
│   ├── index.ts           # MCP server entry point
│   ├── api-server.ts      # Optional HTTP API server
│   ├── types.ts           # Scanner interfaces
│   ├── utils.ts           # File collection, summary formatting
│   └── scanner/
│       ├── invisible.ts       # Invisible Unicode scanner
│       ├── bidi.ts            # BiDi / Trojan Source scanner
│       ├── homoglyph.ts       # Homoglyph scanner
│       ├── encoding.ts        # Encoding / charset scanner
│       ├── obfuscation.ts     # Obfuscation pattern scanner
│       ├── steganography.ts   # Unicode steganography scanner
│       ├── rules-backdoor.ts  # Rules file backdoor scanner
│       ├── dependency.ts      # Dependency risk scanner
│       └── ai-analyzer.ts     # CodeBERT deep analyzer
├── ml/                    # ML model assets and tokenizer
├── functions/             # Cloud function deployments
├── deploy/                # Deployment manifests
└── web/                   # Landing page assets

Licencia

ISC — consulte el archivo LICENSE para obtener más detalles.

Enlaces

Install Server
A
security – no known vulnerabilities
F
license - not found
A
quality - A tier

How are these scores calculated?

Resources

Tools

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/goldmembrane/cleaner-code'

If you have feedback or need assistance with the MCP directory API, please join our Discord server