Skip to main content
Glama
deenesjakoruzh
lazymac2x

mcpwatch

by lazymac2x
OverviewSchemaRelated ServersScoreDiscussions
TypeScript
Hybrid

MCPWatch

npm License: MIT lazymac2x/mcpwatch MCP server

MCP 服务器的“我被入侵了吗?”(Have I Been Pwned)。 开源安全扫描器,根据 OWASP MCP Top 10 对 MCP 服务器进行审计,并给出 A–F 等级评分。

概述

MCPWatch 是一个用于 MCP 生态系统的安全工具,具有以下功能:

  • 在任何 MCP 服务器上运行源自 OWASP MCP Top 10 的 10 项自动化检查

  • 提供 A–F 等级评分以及每项检查的详细发现

  • 提供 MCP 服务器接口,以便 AI 代理可以按需审计 MCP

  • 提供 CLI,用于 CI/CD 流水线中的安装前扫描

  • mcpwatch.pages.dev 上的 公共排行榜 提供支持,并带有实时 SVG 等级徽章

安装

与 Claude Code / Cursor / Windsurf 一起使用(MCP 服务器)

添加到您的 MCP 配置中:

{
  "mcpServers": {
    "mcpwatch": {
      "command": "npx",
      "args": ["-y", "mcpwatch-mcp"]
    }
  }
}

CLI(安装前扫描)

npx mcpwatch-scanner /path/to/mcp-server

GitHub Action(CI/CD 门禁)

- uses: lazymac2x/mcpwatch-action@v1
  with:
    path: .
    fail-below: B

MCP 工具

当作为 MCP 服务器运行时,MCPWatch 会向您的 AI 代理公开以下工具:

工具

描述

scan_mcp_server

通过路径扫描本地 MCP 服务器 — 返回评分 + 每项检查的发现

get_public_score

通过所有者/仓库 slug 获取任何公共 MCP 服务器的实时评分

list_leaderboard

返回公共排行榜中前 N 名或后 N 名的服务器

explain_check

按 ID 获取任何 OWASP MCP Top 10 检查的详细说明

示例:添加 MCP 前进行扫描

询问 Claude:“在使用 mcpwatch 将 filesystem-mcp 服务器添加到我的配置之前,请先扫描 ~/mcps/filesystem-mcp。”

10 项检查(OWASP MCP Top 10)

ID

检查项

严重程度

MCP-01

工具处理程序中的命令注入

严重

MCP-02

文件工具中的路径遍历

严重

MCP-03

未经身份验证的变更操作

严重

MCP-04

通过工具描述进行的提示词注入

MCP-05

URL 获取工具中的 SSRF

MCP-06

硬编码密钥泄露

MCP-07

文件系统权限范围过大

MCP-08

缺少速率限制

MCP-09

具有已知 CVE 的过时依赖项

MCP-10

缺少输入模式验证

评分标准

等级

分数

含义

A

90–100

无严重/高风险发现

B

75–89

无严重风险发现

C

60–74

存在严重风险发现,影响较小

D

40–59

存在多个严重风险发现

F

0–39

存在严重/可利用的漏洞

公共排行榜与徽章

Smithery、npm 和官方注册表上的每个公共 MCP 服务器都会被每日扫描。

实时徽章 — 放入任何 README 中:

[![MCPWatch score](https://api.lazy-mac.com/mcpwatch/badge/YOUR_OWNER/YOUR_REPO.svg)](https://mcpwatch.pages.dev/servers/YOUR_OWNER/YOUR_REPO)

JSON API:

GET https://api.lazy-mac.com/mcpwatch/scan/{owner}/{repo}

架构

mcpwatch/
├── packages/
│   ├── scanner/   # Core check engine (TypeScript, runs in Worker + CLI + Node)
│   └── cli/       # mcpwatch-scanner — npx runnable
├── workers/
│   └── crawler/   # CF Worker — scheduled crawl + scan (daily)
├── apps/
│   └── web/       # CF Pages — mcpwatch.pages.dev — public leaderboard
└── .github/
    └── workflows/ # mcpwatch-action CI gate

要求

  • Node.js 18+

  • 被测 MCP 服务器必须在本地可访问(用于 scan_mcp_server / CLI)

  • 公共排行榜查询无需 API 密钥

许可证

MIT — 随意使用、分叉并贡献检查项。

贡献

欢迎提交关于新检查项、误报修复或排行榜改进的 Pull Request。请参阅 CONTRIBUTING.md 获取指南。

This server cannot be installed

-
security - not tested
A
license - permissive license
-
quality - not tested

How are these scores calculated?

Resources

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/lazymac2x/mcpwatch'

If you have feedback or need assistance with the MCP directory API, please join our Discord server