MCP Scan

🚀 MCP - Scan：一個MCP安全掃描工具

MCP - Scan是一款安全掃描工具，旨在檢查已安裝的MCP服務器是否存在常見安全漏洞，如提示注入、工具中毒和跨域升級等問題，保障服務器安全。

🚀 快速開始

運行MCP - Scan可使用以下命令：

uvx mcp-scan@latest

或

npx mcp-scan@latest

示例運行

點擊下方演示圖查看示例：

✨ 主要特性

• 掃描Claude、Cursor、Windsurf和其他基於文件的MCP客戶端配置。
• 利用防護柵欄掃描提示注入攻擊和工具中毒攻擊。
• 檢測跨域升級攻擊（工具陰影）。
• 採用 工具固定 機制檢測和防止MCP套用攻擊（例如，通過哈希檢測MCP工具的變化）。
• 通過inspect命令檢查已安裝工具的工具描述（例如，uvx mcp-scan@latest inspect）。

🔧 技術細節

MCP - Scan會遍歷配置文件以查找MCP服務器配置，接著連接到這些服務器並檢索工具描述。它會對工具描述進行本地檢查，同時通過調用Invariant Labs的API進行防護柵欄檢查。在此過程中，工具名稱和描述將與invariantlabs.ai共享。使用MCP - Scan即表示您同意invariantlabs.ai的使用條款和隱私政策。

Invariant Labs收集數據用於安全研究目的（僅關於工具描述及其隨時間的變化，不涉及用戶數據）。若您不希望分享工具，請不要使用MCP - scan。同時，MCP - scan不會存儲或記錄任何使用數據，即您調用的MCP工具的內容和結果。

📦 安裝指南

要從源代碼運行此包，請按照以下步驟操作：

uv run pip install -e .
uv run -m src.mcp_scan.cli

📚 詳細文檔

將MCP - scan結果納入您的項目/註冊表

如果您希望將MCP - scan的結果納入您自己的項目或註冊表，請通過mcpscan@invariantlabs.ai聯繫團隊，我們會提供相應幫助。

進一步閱讀

• 介紹MCP - Scan
• MCP安全通知工具中毒攻擊

🤝 貢獻

我們歡迎對MCP - Scan的貢獻。如果您有任何建議、錯誤報告或功能請求，請在我們的GitHub倉庫上打開問題。