%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
Javasinktracer MCP
什么是JavaSinkTracer MCP?
JavaSinkTracer MCP是一个智能Java源代码安全分析工具,专门为AI助手(如Claude)设计。它能够自动扫描Java项目,从危险函数反向追踪到外部输入源,发现潜在的安全漏洞链路。通过Model Context Protocol (MCP)集成,您可以直接在AI对话中使用自然语言命令进行代码安全审计。如何使用JavaSinkTracer MCP?
使用JavaSinkTracer MCP非常简单:首先安装Python依赖并配置Claude Desktop,然后重启Claude。配置完成后,您可以直接在对话中请求AI助手扫描Java项目的安全漏洞,AI会自动调用相应的分析工具并返回结果。适用场景
JavaSinkTracer MCP特别适合以下场景: 1. 开发过程中快速检查代码安全性 2. 代码审查时辅助发现潜在漏洞 3. 学习Java安全漏洞原理和检测方法 4. 教育环境中演示代码安全分析 5. 小型到中型Java项目的安全评估主要功能
智能漏洞扫描
自动从危险函数(如Runtime.exec、Statement.execute)反向追踪到外部入口(如HttpServletRequest.getParameter),发现潜在的安全漏洞链路。支持13种常见漏洞类型检测。
调用图分析
构建完整的Java项目函数调用关系图,支持跨文件、跨类的调用追踪。可视化展示函数间的调用关系,帮助理解代码结构。
函数级污点分析
采用创新的函数级污点分析技术,有效规避传统变量级分析在复杂场景(线程、反射、回调)下的断链问题,提高分析覆盖率。
代码智能提取
自动提取漏洞链路上每个函数的完整源代码,便于人工或AI深入分析。支持按需提取,避免一次性加载过多代码。
主流框架支持
支持Spring Boot、MyBatis、Fastjson、OkHttp、Log4j等主流Java框架的漏洞检测规则,提高实际项目的分析准确性。
AI助手集成
通过MCP协议与Claude等AI助手无缝集成,使用自然语言即可进行复杂的安全分析,降低使用门槛。
优势
无需复杂配置:通过AI对话即可使用,降低技术门槛
智能分析:结合AI理解能力,提供更准确的分析结果
高效追踪:函数级污点分析有效处理复杂调用场景
全面覆盖:支持13种常见漏洞类型和主流Java框架
缓存优化:首次分析后使用缓存,大幅提升后续分析速度
局限性
可能存在误报:函数级分析可能产生一定误报,需要结合AI或人工确认
首次分析较慢:大型项目首次构建AST和调用图需要时间
依赖Claude Desktop:需要配置Claude Desktop才能使用
不适用于二进制分析:仅支持Java源代码分析
如何使用
安装依赖
确保已安装Python 3.8+,然后安装项目所需依赖包
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%230080ff;%20}%20%3c/style%3e%3c/defs%3e%3cpath%20class='st0'%20d='M16.2,11.1c.4.5.4,1.2,0,1.8l-4.7,7.1h-3.8l5.3-8L7.6,4h3.8l4.7,7.1Z'/%3e%3c/svg%3e)
配置Claude Desktop
根据操作系统编辑Claude Desktop配置文件,添加MCP服务器配置
重启Claude Desktop
保存配置文件后,重启Claude Desktop应用程序使配置生效
开始使用
在Claude对话中,使用自然语言命令请求安全分析
使用案例
全面安全审计
对新开发的Java Web应用进行全面的安全漏洞扫描,发现潜在的安全风险
针对性漏洞检测
针对特定类型的漏洞进行检测,如SQL注入和命令执行漏洞
漏洞确认分析
对发现的漏洞进行深入分析,确认是否为真实漏洞
代码结构理解
通过调用图分析理解复杂项目的代码结构和函数调用关系
常见问题
工具在Claude中未显示怎么办?
分析大型项目速度很慢怎么办?
分析结果有误报怎么办?
支持哪些Java版本?
如何添加自定义的漏洞检测规则?
工具可以离线使用吗?
相关资源
视频演示
JavaSinkTracer MCP的实际使用演示视频
GitHub仓库
JavaSinkTracer项目的源代码和详细文档
MCP协议文档
Model Context Protocol官方文档和规范
Claude Desktop配置指南
Claude Desktop的官方使用和配置指南
CWE漏洞分类
通用弱点枚举(CWE)漏洞分类标准
Figma Context MCP
Framelink Figma MCP Server是一个为AI编程工具(如Cursor)提供Figma设计数据访问的服务器,通过简化Figma API响应,帮助AI更准确地实现设计到代码的一键转换。
TypeScript
62.6K
4.5分
Duckduckgo MCP Server
已认证
DuckDuckGo搜索MCP服务器,为Claude等LLM提供网页搜索和内容抓取服务
Python
68.5K
4.3分
Firecrawl MCP Server
Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器,提供丰富的网页抓取、搜索和内容提取功能。
TypeScript
118.1K
5分
Baidu Map
已认证
百度地图MCP Server是国内首个兼容MCP协议的地图服务,提供地理编码、路线规划等10个标准化API接口,支持Python和Typescript快速接入,赋能智能体实现地图相关功能。
Python
43.7K
4.5分
Exa Web Search
已认证
Exa MCP Server是一个为AI助手(如Claude)提供网络搜索功能的服务器,通过Exa AI搜索API实现实时、安全的网络信息获取。
TypeScript
46.2K
5分
Edgeone Pages MCP Server
EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务
TypeScript
27.4K
4.8分
Minimax MCP Server
MiniMax Model Context Protocol (MCP) 是一个官方服务器,支持与强大的文本转语音、视频/图像生成API交互,适用于多种客户端工具如Claude Desktop、Cursor等。
Python
52.8K
4.8分
Context7
Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务,通过Model Context Protocol直接集成到提示中,解决LLM使用过时信息的问题。
TypeScript
86.3K
4.7分