Code Firewall MCP

🚀 Code Firewall MCP

Code Firewall MCPは、MCP（Model Context Protocol）用の構造的類似性に基づくコードセキュリティフィルターです。既知の危険なパターンのブラックリストとコード構造を比較することで、危険なコードパターンが実行ツールに到達する前にブロックします。

🚀 クイックスタート

この仕組み

flowchart LR
    A[Code<br/>file/string] --> B[Parse & Normalize<br/>tree-sitter]
    B --> C[Embed<br/>Ollama]
    C --> D{Similarity Check<br/>vs Blacklist}
    D -->|≥ threshold| E[🚫 BLOCKED]
    D -->|< threshold| F[✅ ALLOWED]
    F --> G[Execution Tools<br/>rlm_exec, etc.]

    style E fill:#ff6b6b,color:#fff
    style F fill:#51cf66,color:#fff
    style D fill:#339af0,color:#fff

1. 解析：tree-sitterを使用してコードを具象構文木（CST）に解析します。
2. 正規化：識別子とリテラルを削除して構造的なスケルトンに正規化します。
3. 埋め込み：Ollamaを介して正規化された構造を埋め込みます。
4. 比較：ChromaDB内のブラックリストされたパターンと比較します。
5. ブロック：類似度がしきい値を超える場合はブロックし、そうでなければ許可します。

重要な洞察

os.system("rm -rf /") や os.system("ls") などのコードパターンは、構造が同一です。特定のコマンドや識別子を正規化することで、特定の引数に関係なく危険なパターンを検出することができます。

正規化中には、セキュリティに敏感な識別子が保持されます（例：eval, exec, os, system, subprocess, Popen, shell）。これにより、危険なパターンに対する埋め込みが識別可能なままになります。

📦 インストール

クイックスタート

オプション1: PyPI（推奨）

uvx code-firewall-mcp
# または
pip install code-firewall-mcp

オプション2: Claude Desktop ワンクリック Releases から .mcpb をダウンロードし、ダブルクリックしてインストールします。

オプション3: ソースから

git clone https://github.com/egoughnour/code-firewall-mcp.git
cd code-firewall-mcp
uv sync

Claude Code / Claude Desktop への接続

~/.claude/.mcp.json（Claude Code）または claude_desktop_config.json（Claude Desktop）に追加します。

{
  "mcpServers": {
    "code-firewall": {
      "command": "uvx",
      "args": ["code-firewall-mcp"],
      "env": {
        "FIREWALL_DATA_DIR": "~/.code-firewall",
        "OLLAMA_URL": "http://localhost:11434"
      }
    }
  }
}

必要条件

• Python 3.10以上（onnxruntimeの互換性のため、3.14未満）
• Ollama（埋め込み用）
• ChromaDB（ベクトルストレージ用）
• tree-sitter（オプション、より良い解析のため）

Ollama（埋め込み）のセットアップ

Code Firewallは、Apple Siliconを搭載したmacOSでOllamaを自動的にインストールして構成することができます。2つのインストール方法があります。

方法1: Homebrewによるインストール

# 1. システム要件をチェック
firewall_system_check()

# 2. Homebrewを介してインストール
firewall_setup_ollama(install=True, start_service=True, pull_model=True)

これによって行われること:

• Homebrewを介してOllamaをインストールします（brew install ollama）
• Ollamaを管理されたバックグラウンドサービスとして起動します
• 埋め込み用のnomic-embed-textモデルを取得します

方法2: 直接ダウンロード（sudo不要）

# 1. システムをチェック
firewall_system_check()

# 2. 直接ダウンロードによるインストール - sudo不要、Homebrew不要
firewall_setup_ollama_direct(install=True, start_service=True, pull_model=True)

これによって行われること:

• https://ollama.com からOllamaをダウンロードします
• ~/Applications/ に抽出します（管理者権限不要）
• ollama serve を介してOllamaを起動します
• nomic-embed-textモデルを取得します

手動セットアップ

# Ollamaをインストール
brew install ollama
# または https://ollama.ai からダウンロード

# サービスを起動
brew services start ollama
# または: ollama serve

# 埋め込みモデルを取得
ollama pull nomic-embed-text

# 確認
firewall_ollama_status()

💻 使用例

セットアップとステータスツール

ファイアウォールツール

firewall_check

コードファイルが実行ツールに渡すのに安全かどうかをチェックします。

result = await firewall_check(file_path="/path/to/script.py")
# 戻り値: {allowed: bool, blocked: bool, similarity: float, ...}

firewall_check_code

コード文字列を直接チェックします（ファイル不要）。

result = await firewall_check_code(
    code="import os; os.system('rm -rf /')",
    language="python"
)

firewall_blacklist

危険なパターンをブラックリストに追加します。

result = await firewall_blacklist(
    code="os.system(arbitrary_command)",
    reason="Arbitrary command execution",
    severity="critical"
)

firewall_record_delta

クラス分類器を鋭敏化するために、ニアミスのバリアントを記録します。

result = await firewall_record_delta(
    code="subprocess.run(['ls', '-la'])",
    similar_to="abc123",
    notes="Legitimate use case for file listing"
)

firewall_list_patterns

ブラックリストまたはデルタコレクション内のパターンをリストします。

firewall_remove_pattern

ブラックリストまたはデルタからパターンを削除します。

firewall_status

ファイアウォールのステータスと統計情報を取得します。

📚 詳細ドキュメント

構成

環境変数:

使用パターン

massive-context-mcpの事前フィルター

コードを rlm_exec に渡す前に、code-firewall-mcpをゲートキーパーとして使用します。

# 1. コードの安全性をチェック
check = await firewall_check_code(user_code)

if check["blocked"]:
    print(f"BLOCKED: {check['reason']}")
    return

# 2. 許可された場合、実行を続行
result = await rlm_exec(code=user_code, context_name="my-context")

massive-context-mcpとの統合

ファイアウォールを統合したmassive-context-mcpをインストールします。

pip install massive-context-mcp[firewall]

有効にすると、rlm_exec は実行前に自動的にコードをファイアウォールと照合します。

ブラックリストの構築

ブラックリストは使用に伴って拡大します。

1. 初期シーディング：既知の危険なパターンを追加します。
2. 監査フィードバック：rlm_auto_analyze がセキュリティ問題を検出した場合、パターンを追加します。
3. デルタ鋭敏化：ニアミスを記録して分類境界を改善します。

# セキュリティ監査で問題が見つかった後
await firewall_blacklist(
    code=dangerous_code,
    reason="Command injection via subprocess",
    severity="critical"
)

構造的正規化

flowchart TD
    subgraph Input
        A1["os.system('rm -rf /')"]
        A2["os.system('ls -la')"]
        A3["os.system(user_cmd)"]
    end

    subgraph Normalization
        B[Strip literals & identifiers<br/>Preserve security keywords]
    end

    subgraph Output
        C["os.system('S')"]
    end

    A1 --> B
    A2 --> B
    A3 --> B
    B --> C

    style C fill:#ff922b,color:#fff

正規化器は以下を削除します:

• 識別子: my_var → _（セキュリティに敏感なものを除く）
• 文字列リテラル: "hello" → "S"
• 数値: 42 → N
• コメント: 完全に削除

保持される識別子（より良いパターンマッチングのため）:

• eval, exec, compile, __import__
• os, system, popen, subprocess, Popen, shell
• open, read, write, socket, connect
• getattr, setattr, __globals__, __builtins__
• その他のセキュリティに敏感な名前...

例:

# 元のコード
subprocess.run(["curl", url, "-o", output_file])

# 正規化後（'subprocess' と 'run' を保持）
subprocess.run(["S", _, "S", _])

subprocess.run(["curl", ...]) と subprocess.run(["wget", ...]) の両方が同じ構造に正規化されるため、一方をブラックリストに登録すると両方が捕捉されます。

📄 ライセンス

MIT