MCPWatch

Name: mcpwatch
Author: lazymac2x

npm License: MIT lazymac2x/mcpwatch MCP server

"Have I Been Pwned" para servidores MCP. Escáner de seguridad de código abierto que audita servidores MCP frente al OWASP MCP Top 10 y genera una calificación de la A a la F.

Descripción general

MCPWatch es una herramienta de seguridad para el ecosistema MCP que:

Ejecuta 10 comprobaciones automatizadas derivadas del OWASP MCP Top 10 en cualquier servidor MCP
Genera una calificación de la A a la F con hallazgos por comprobación
Expone una interfaz de servidor MCP para que los agentes de IA puedan auditar MCPs bajo demanda
Proporciona una CLI para escaneos previos a la instalación en tuberías de CI/CD
Impulsa una tabla de clasificación pública en mcpwatch.pages.dev con insignias de calificación SVG en tiempo real

Instalación

Uso con Claude Code / Cursor / Windsurf (servidor MCP)

Añadir a su configuración de MCP:

{
  "mcpServers": {
    "mcpwatch": {
      "command": "npx",
      "args": ["-y", "mcpwatch-mcp"]
    }
  }
}

CLI (escanear antes de instalar)

npx mcpwatch-scanner /path/to/mcp-server

GitHub Action (puerta de CI/CD)

- uses: lazymac2x/mcpwatch-action@v1
  with:
    path: .
    fail-below: B

Herramientas MCP

Al ejecutarse como un servidor MCP, MCPWatch expone las siguientes herramientas a su agente de IA:

Herramienta	Descripción
`scan_mcp_server`	Escanea un servidor MCP local por ruta — devuelve la calificación + hallazgos por comprobación
`get_public_score`	Obtiene la calificación en tiempo real de cualquier servidor MCP público por propietario/repositorio
`list_leaderboard`	Devuelve los N servidores principales/inferiores de la tabla de clasificación pública
`explain_check`	Obtiene una explicación detallada de cualquier comprobación del OWASP MCP Top 10 por ID

Ejemplo: escanear antes de añadir un MCP

Pregunte a Claude: "Usa mcpwatch para escanear el servidor filesystem-mcp en ~/mcps/filesystem-mcp antes de añadirlo a mi configuración."

Las 10 comprobaciones (OWASP MCP Top 10)

ID	Comprobación	Severidad
MCP-01	Inyección de comandos en manejadores de herramientas	Crítica
MCP-02	Recorrido de rutas en herramientas de archivos	Crítica
MCP-03	Mutaciones no autenticadas	Crítica
MCP-04	Inyección de prompts a través de descripciones de herramientas	Alta
MCP-05	SSRF en herramientas de obtención de URL	Alta
MCP-06	Fuga de secretos codificados	Alta
MCP-07	Alcance de sistema de archivos demasiado permisivo	Media
MCP-08	Falta de límites de tasa	Media
MCP-09	Dependencias obsoletas con CVE conocidos	Media
MCP-10	Falta de validación de esquema de entrada	Baja

Calificación

Calificación	Puntuación
A	90–100 — sin hallazgos Críticos/Altos
B	75–89 — sin hallazgos Críticos
C	60–74 — tiene hallazgos Críticos, impacto menor
D	40–59 — múltiples hallazgos Críticos
F	0–39 — vulnerabilidades graves/explotables

Tabla de clasificación pública e insignias

Cada servidor MCP público en Smithery, npm y el registro oficial se escanea diariamente.

Insignia en tiempo real — añádala a cualquier README:

[![MCPWatch score](https://api.lazy-mac.com/mcpwatch/badge/YOUR_OWNER/YOUR_REPO.svg)](https://mcpwatch.pages.dev/servers/YOUR_OWNER/YOUR_REPO)

API JSON:

GET https://api.lazy-mac.com/mcpwatch/scan/{owner}/{repo}

Arquitectura

mcpwatch/
├── packages/
│   ├── scanner/   # Core check engine (TypeScript, runs in Worker + CLI + Node)
│   └── cli/       # mcpwatch-scanner — npx runnable
├── workers/
│   └── crawler/   # CF Worker — scheduled crawl + scan (daily)
├── apps/
│   └── web/       # CF Pages — mcpwatch.pages.dev — public leaderboard
└── .github/
    └── workflows/ # mcpwatch-action CI gate

Requisitos

Node.js 18+
El servidor MCP bajo prueba debe ser accesible localmente (para scan_mcp_server / CLI)
No se requiere clave de API para consultas de la tabla de clasificación pública

Licencia

MIT — úselo, haga un fork, contribuya con comprobaciones.

Contribución

Las solicitudes de extracción (pull requests) para nuevas comprobaciones, correcciones de falsos positivos o mejoras en la tabla de clasificación son bienvenidas. Consulte CONTRIBUTING.md para ver las directrices.

mcpwatch