MCP-Scan
MCP-Scan - это инструмент сканирования безопасности, предназначенный для анализа серверов MCP на наличие общих уязвимостей, включая инъекции команды, отравление инструментов и эскалацию кросс-домена. Он подключается к сконфигурированным серверам MCP, извлекает описания инструментов и сканирует их на предмет рисков безопасности с использованием локальных проверок и удаленной верификации через Invariant Guardrails. Он помогает обеспечить безопасность и целостность систем на основе MCP, обнаруживая потенциальные векторы атак и вредоносные конфигурации.
Добавлено:
Создано:
Apr 28 2025
MCP-Scan - это инструмент сканирования безопасности, предназначенный для анализа серверов MCP на наличие общих уязвимостей, включая инъекции команды, отравление инструментов и эскалацию кросс-домена. Он подключается к сконфигурированным серверам MCP, извлекает описания инструментов и сканирует их на предмет рисков безопасности с использованием локальных проверок и удаленной верификации через Invariant Guardrails. Он помогает обеспечить безопасность и целостность систем на основе MCP, обнаруживая потенциальные векторы атак и вредоносные конфигурации.
Добавлено:
Created by:
Apr 28 2025
Invariant Labs
Рекомендуемые
Что такое MCP-Scan?
MCP-Scan - это всесторонний сканер безопасности, ориентированный на серверы Протокола Модельного Контекста (MCP). Он проверяет конфигурации ваших установленных MCP-серверов, подключается к этим серверам и получает подробные описания их инструментов. Затем сканер анализирует эти описания на предмет распространенных проблем безопасности, таких как инъекции команды, отравление инструментов, эскалации кросс-домена и атаки rug pull MCP. Он использует как локальные проверки, так и удаленную верификацию с Invariant Guardrails, деля минимальные данные о инструментах для анализа безопасности. MCP-Scan помогает разработчикам и командам безопасности контролировать и защищать свои экосистемы MCP, предлагая глубокое сканирование, обнаружение уязвимостей и возможности проверки инструментов, обеспечивая более безопасные и надежные развертывания MCP.
Кто будет использовать MCP-Scan?
- Исследователи безопасности
- Команды DevOps, управляющие средами серверов MCP
- Разработчики, развертывающие приложения MCP
- Системные аудиторы
Как использовать MCP-Scan?
- Шаг 1: Установите MCP-Scan через предоставленную команду или менеджер пакетов.
- Шаг 2: При необходимости настройте адреса серверов MCP в конфигурационном файле.
- Шаг 3: Выполните стандартное сканирование, используя `mcp-scan` для анализа серверов MCP на наличие уязвимостей.
- Шаг 4: Просмотрите отчеты о сканировании для обнаруженных проблем и возможных уязвимостей.
- Шаг 5: Используйте команду проверки для анализа конкретных инструментов или подсказок.
- Шаг 6: Управляйте белым списком, чтобы одобрить или исключить доверенные инструменты или сущности.
Ключевые Особенности и Преимущества MCP-Scan
Основные функции
- Проверка конфигураций MCP на уязвимости безопасности
- Инспекция описаний инструментов
- Управление белым списком доверенных сущностей
- Обнаружение инъекций команд и отравления инструментов
- Идентификация атак эскалации кросс-домена
- Закрепление инструментов для обнаружения MCP rug pulls
Преимущества
- Улучшает безопасность экосистемы MCP
- Автоматизирует обнаружение уязвимостей
- Предоставляет подробные сведения о конфигурациях инструментов MCP
- Снижает риск нарушений безопасности
- Поддерживает соблюдение правил и аудит безопасности
Основные Сценарии Использования и Приложения MCP-Scan
- Аудит безопасности основанных на MCP ИИ-сред
- Мониторинг целостности серверов MCP с течением времени
- Оценки безопасности конфигураций MCP перед развертыванием
- Реагирование на инциденты, выявляя вредоносные или скомпрометированные инструменты
- Автоматизированная проверка безопасности в CI/CD пайплайнах
Часто Задаваемые Вопросы о MCP-Scan
Разработчик
- invariantlabs-ai
Вам также может понравиться:
Инструменты разработчика
Настольное приложение для управления взаимодействиями между сервером и клиентом с полными функциональными возможностями.
Сервер Model Context Protocol для Eagle, который управляет обменом данными между приложением Eagle и источниками данных.
Чат-клиент, который интегрирует и использует различные инструменты MCP прямо в чат-среде для повышения производительности.
Изображение Docker, размещающее несколько соединений MCP, доступных через единый входной пункт с интеграцией supergateway.
Обеспечивает доступ к балансам счетов YNAB, транзакциям и созданию транзакций через протокол MCP.
Быстрый и масштабируемый сервер MCP для управления операциями торговли в режиме реального времени для нескольких клиентов Zerodha.
Удаленный SSH-клиент, который облегчает безопасный, основанный на прокси-доступ к серверам MCP для удаленного использования инструментов.
Сервер MCP на базе Spring с возможностями ИИ для управления и обработки протоколов коммуникации модов Minecraft.
Минималистичный MCP-клиент с основными функциями чата, поддерживающий несколько моделей и контекстные взаимодействия.
Защищенный MCP сервер, позволяющий агентам ИИ взаимодействовать с приложением Authenticator для получения кодов 2FA и паролей.
Исследования и данные
Реализация сервера, поддерживающая Протокол Контекста Модели, интегрирующая возможности промышленного ИИ CRIC.
Предоставляет данные о движении, качестве воздуха, погоде и прокате велосипедов в городе Валенсия в единой платформе в реальном времени.
Приложение на React, демонстрирующее интеграцию с Supabase через инструменты MCP и Tambo для регистрации компонентов пользовательского интерфейса.
Клиент MCP, интегрирующий API Brave Search для веб-поиска, использующий протокол MCP для эффективной коммуникации.
Сервер протокола, обеспечивающий бесперебойную связь между Umbraco CMS и внешними приложениями.
NOL интегрирует LangChain и Open Router для создания сервера MCP с несколькими клиентами на основе Next.js.
Соединяет LLM с Firebolt Data Warehouse для автономных запросов, доступа к данным и генерации инсайтов.
Клиентская платформа для соединения ИИ-агентов с серверами MCP, позволяющая обнаружение и интеграцию инструментов.
Spring Link упрощает связывание и управление несколькими приложениями Spring Boot эффективно в единой среде.
Клиент с открытым исходным кодом для взаимодействия с несколькими серверами MCP, обеспечивающий бесшовный доступ к инструментам для Claude.
Безопасность
Сервер MCP на основе Python, позволяющий безопасное управление и автоматизацию брандмауэров OPNsense через API.
Позволяет взаимодействовать с SharePoint Online через REST API, поддерживая функции управления сайтом, списком и пользователем.
Обертка сервера MCP, позволяющая полное использование протокола без ограничений инструментов или перегрузки контекста.
Обертка вокруг сервера MCP для выбора инструментов, которые следует сделать доступными для клиентов MCP, что улучшает контроль и безопасность.
Безопасно запускайте серверы MCP, не изменяя конфигурации, управляя секретами безопасно через загрузчик.
Продвинутый SSH-клиент, поддерживающий MCP с проверками безопасности, управлением сессиями и функциями конфиденциального ведения журналов.
Обеспечивает безопасный, относительный доступ к файловой системе для ИИ-агентов с пакетными операциями и подробной отчетностью об ошибках.
Клиент для подключения к серверам MCP, позволяющий ИИ-агентам находить и использовать инструменты через протокол MCP.
Сервер для отправки уведомлений на саморазмещённые серверы ntfy с поддержкой аутентификации по защищённому токену.
Клиентское приложение для безопасного взаимодействия в среде MCP с использованием постквантовой криптографии.