MCPWatch

MCPサーバー版「Have I Been Pwned」。 MCPサーバーをOWASP MCP Top 10に基づいて監査し、A〜Fの評価を生成するオープンソースのセキュリティスキャナーです。

概要

MCPWatchは、MCPエコシステム向けのセキュリティツールであり、以下の機能を提供します：

• あらゆるMCPサーバーに対して、OWASP MCP Top 10に基づく10項目の自動チェックを実行

• チェック項目ごとの結果を含むA〜Fの評価を生成

• MCPサーバーインターフェースを公開し、AIエージェントがオンデマンドでMCPを監査可能に

• CI/CDパイプラインでのインストール前スキャン用のCLIを提供

• mcpwatch.pages.dev にて、ライブSVG評価バッジ付きの公開リーダーボードを運営

インストール

Claude Code / Cursor / Windsurfでの使用 (MCPサーバー)

MCP設定に追加してください：

{
  "mcpServers": {
    "mcpwatch": {
      "command": "npx",
      "args": ["-y", "mcpwatch-mcp"]
    }
  }
}

CLI (インストール前のスキャン)

npx mcpwatch-scanner /path/to/mcp-server

GitHub Action (CI/CDゲート)

- uses: lazymac2x/mcpwatch-action@v1
  with:
    path: .
    fail-below: B

MCPツール

MCPサーバーとして実行する場合、MCPWatchはAIエージェントに対して以下のツールを公開します：

例：MCPを追加する前のスキャン

Claudeにこう尋ねてください：「~/mcps/filesystem-mcp にある filesystem-mcp サーバーを、設定に追加する前に mcpwatch を使ってスキャンして。」

10項目のチェック (OWASP MCP Top 10)

評価基準

公開リーダーボードとバッジ

Smithery、npm、および公式レジストリ上のすべての公開MCPサーバーは毎日スキャンされます。

ライブバッジ — READMEに貼り付けてください：

[![MCPWatch score](https://api.lazy-mac.com/mcpwatch/badge/YOUR_OWNER/YOUR_REPO.svg)](https://mcpwatch.pages.dev/servers/YOUR_OWNER/YOUR_REPO)

JSON API:

GET https://api.lazy-mac.com/mcpwatch/scan/{owner}/{repo}

アーキテクチャ

mcpwatch/
├── packages/
│   ├── scanner/   # Core check engine (TypeScript, runs in Worker + CLI + Node)
│   └── cli/       # mcpwatch-scanner — npx runnable
├── workers/
│   └── crawler/   # CF Worker — scheduled crawl + scan (daily)
├── apps/
│   └── web/       # CF Pages — mcpwatch.pages.dev — public leaderboard
└── .github/
    └── workflows/ # mcpwatch-action CI gate

要件

• Node.js 18以上

• テスト対象のMCPサーバーがローカルでアクセス可能であること (scan_mcp_server / CLI用)

• 公開リーダーボードの検索にAPIキーは不要

ライセンス

MIT — 自由に使用、フォーク、チェック項目の追加を行ってください。

貢献

新しいチェック項目の追加、誤検知の修正、リーダーボードの改善に関するプルリクエストを歓迎します。ガイドラインについては CONTRIBUTING.md を参照してください。