MCPWatch

MCP 서버를 위한 'Have I Been Pwned'. OWASP MCP Top 10을 기준으로 MCP 서버를 감사하고 A–F 등급을 생성하는 오픈 소스 보안 스캐너입니다.

개요

MCPWatch는 MCP 생태계를 위한 보안 도구로, 다음과 같은 기능을 제공합니다:

• 모든 MCP 서버에 대해 OWASP MCP Top 10에서 파생된 10가지 자동화된 검사 실행

• 검사별 결과가 포함된 A–F 등급 생성

• AI 에이전트가 필요할 때 MCP를 감사할 수 있도록 MCP 서버 인터페이스 노출

• CI/CD 파이프라인에서 설치 전 스캔을 위한 CLI 제공

• 실시간 SVG 등급 배지가 포함된 mcpwatch.pages.dev의 공개 리더보드 운영

설치

Claude Code / Cursor / Windsurf와 함께 사용 (MCP 서버)

MCP 구성에 추가하세요:

{
  "mcpServers": {
    "mcpwatch": {
      "command": "npx",
      "args": ["-y", "mcpwatch-mcp"]
    }
  }
}

CLI (설치 전 스캔)

npx mcpwatch-scanner /path/to/mcp-server

GitHub Action (CI/CD 게이트)

- uses: lazymac2x/mcpwatch-action@v1
  with:
    path: .
    fail-below: B

MCP 도구

MCP 서버로 실행될 때, MCPWatch는 AI 에이전트에 다음과 같은 도구를 노출합니다:

예시: MCP 추가 전 스캔

Claude에게 요청하세요: "mcpwatch를 사용하여 ~/mcps/filesystem-mcp에 있는 filesystem-mcp 서버를 구성에 추가하기 전에 스캔해줘."

10가지 검사 (OWASP MCP Top 10)

등급 산정

공개 리더보드 및 배지

Smithery, npm 및 공식 레지스트리에 있는 모든 공개 MCP 서버는 매일 스캔됩니다.

실시간 배지 — 모든 README에 삽입 가능:

[![MCPWatch score](https://api.lazy-mac.com/mcpwatch/badge/YOUR_OWNER/YOUR_REPO.svg)](https://mcpwatch.pages.dev/servers/YOUR_OWNER/YOUR_REPO)

JSON API:

GET https://api.lazy-mac.com/mcpwatch/scan/{owner}/{repo}

아키텍처

mcpwatch/
├── packages/
│   ├── scanner/   # Core check engine (TypeScript, runs in Worker + CLI + Node)
│   └── cli/       # mcpwatch-scanner — npx runnable
├── workers/
│   └── crawler/   # CF Worker — scheduled crawl + scan (daily)
├── apps/
│   └── web/       # CF Pages — mcpwatch.pages.dev — public leaderboard
└── .github/
    └── workflows/ # mcpwatch-action CI gate

요구 사항

• Node.js 18 이상

• 테스트 대상 MCP 서버는 로컬에서 액세스 가능해야 함 (scan_mcp_server / CLI의 경우)

• 공개 리더보드 조회 시 API 키 필요 없음

라이선스

MIT — 자유롭게 사용하고, 포크하고, 검사 로직을 기여하세요.

기여

새로운 검사, 오탐지 수정 또는 리더보드 개선을 위한 풀 리퀘스트를 환영합니다. 가이드라인은 CONTRIBUTING.md를 참조하세요.