MCP Fortress

MCP Fortress

MCP Fortress是一个为Model Context Protocol（MCP）服务器设计的综合安全工具，提供自动化漏洞扫描、运行时防护、风险评分和威胁检测功能，支持通过MCP服务器模式与Claude Code等AI助手集成进行安全分析。

安全开发者工具 #安全扫描 #运行时防护 #威胁检测 #MCP安全

评分 : 2.5分

下载量 : 6.1K

更新时间 : 2025-12-29

打开站点

什么是MCP Fortress?

MCP Fortress是一个专门为Model Context Protocol (MCP) 服务器设计的安全工具。它就像一个'安全卫士'，帮助您在使用各种MCP服务器时检测潜在的安全风险。无论是通过npm安装的JavaScript包还是PyPI的Python包，MCP Fortress都能自动扫描其中的漏洞、恶意代码和依赖风险，并提供实时保护。

如何使用MCP Fortress?

MCP Fortress提供多种使用方式：最简单的是通过Claude Code插件一键安装，无需任何配置；也可以作为独立的MCP服务器集成到您的AI开发环境中；或者使用命令行工具进行本地扫描。无论哪种方式，都能让您轻松检查MCP服务器的安全性。

适用场景

当您需要安装新的MCP服务器时，不确定其安全性；当您怀疑某个MCP服务器可能有恶意行为时；当您想定期检查已安装MCP服务器的安全状态时；当您需要为团队建立MCP服务器安全标准时。

主要功能

自动化安全扫描

自动检测npm和PyPI包中的漏洞，集成CVE数据库，分析依赖关系，计算风险评分（0-100分）

运行时保护

实时监控MCP服务器运行状态，隔离可疑包，通过WebSocket流式传输遥测数据，提供实时活动日志

游戏化体验

包含16个可解锁徽章的成就系统，每日扫描连续记录，排行榜和统计指标，有趣的安全提示

MCP服务器模式

可作为MCP服务器运行，将安全分析工具暴露给Claude Code、Cursor等AI助手，使用现有LLM进行AI驱动的安全分析

美观的Web界面

基于React的现代化仪表板，实时统计数据，可排序和筛选的服务器表格，详细的威胁分析视图

增强型扫描器

改进的误报检测，首个使用MCP来保护MCP的安全工具

优势

零配置使用：Claude Code插件一键安装，无需复杂设置

多平台支持：支持npm和PyPI生态系统

实时保护：运行时监控和即时威胁检测

AI集成：可直接在AI对话中使用安全分析

用户友好：游戏化设计让安全扫描更有趣

离线工作：本地安装版本无需网络连接

局限性

免费版缺少云同步功能

团队功能需要专业版

对新发布的包可能存在扫描延迟

某些高级威胁可能需要手动验证

如何使用

选择安装方式

根据您的需求选择最适合的安装方式：Claude Code插件（最简单）、Smithery远程服务（自动更新）、或本地安装（完全控制）

安装MCP Fortress

如果使用Claude Code，只需在插件市场搜索并安装；如果使用命令行，运行npm install -g mcp-fortress

配置AI助手

编辑AI助手的配置文件，添加MCP Fortress服务器。对于Claude Desktop，编辑claude_desktop_config.json文件

开始使用

重启AI助手，现在您可以直接在对话中询问安全问题，或使用命令行工具进行扫描

使用案例

检查新MCP服务器的安全性

当您想在项目中安装一个新的MCP服务器，但不确定其安全性时，可以使用MCP Fortress进行快速扫描

检测恶意工具名称

当您遇到名称可疑的工具时（如拼写错误的工具名），可以检查是否为恶意仿冒

分析提示词注入攻击

当您收到可能包含恶意指令的提示词时，可以检查是否存在提示词注入风险

批量扫描项目依赖

当您需要检查整个项目中所有MCP服务器的安全性时，可以使用命令行工具进行批量扫描

常见问题

MCP Fortress需要付费吗？

MCP Fortress会影响我的MCP服务器性能吗？

如何判断扫描结果的准确性？

MCP Fortress支持哪些AI助手？

数据存储在哪里？是否安全？

遇到误报怎么办？

🚀 🏰 MCP Fortress

用于模型上下文协议（MCP）服务器的安全扫描器和运行时保护工具

本工具能够对MCP服务器进行安全扫描和运行时保护，为服务器的稳定运行保驾护航。

🚀 v0.3.6版本新特性：增强了扫描器，改进了误报检测功能！这是首个使用MCP来保障MCP安全的工具。

🚀 快速开始

针对Claude Code用户（最简单的方式）

# 安装Claude Code插件
/plugin marketplace add mcp-fortress/mcp-fortress
/plugin install mcp-fortress

# 使用Smithery进行身份验证（在浏览器中打开）
/mcp

完成！现在你可以向Claude询问：“@modelcontextprotocol/server-github是否可以安全安装？”

MCP Fortress技能将自动为你进行安全扫描和分析。无需设置，无需配置，安装后即可使用！🎉

📖 完整的Claude Code安装指南

独立安装

# 全局安装
npm install -g mcp-fortress

# 启动服务器
mcp-fortress start

就是这么简单！Web界面将在 http://localhost:3000 打开。

✨ 主要特性

🔍 自动安全扫描

跨npm和PyPI包进行漏洞检测
集成CVE数据库
依赖项分析
风险评分（0 - 100）

🛡️ 运行时保护

实时监控MCP服务器
隔离可疑包
WebSocket遥测流
实时更新的活动反馈

📊 游戏化设计

拥有16个可解锁徽章的成就系统
每日扫描连胜追踪
排行榜和指标
幽默的安全提示

🎨 精美Web界面

基于现代React的仪表盘
实时统计数据
支持排序和过滤的服务器表格
详细的威胁分析视图

🤖 新增：MCP服务器模式（v0.3.0+）

将MCP Fortress作为MCP服务器运行
向Claude Code、Cursor、Windsurf等工具开放安全分析工具
使用现有的大语言模型进行人工智能安全分析
零设置，使用你已有的AI
首个使用MCP来保障MCP安全的工具

📦 安装指南

选项1：Smithery远程安装（推荐 - 最简单）

方法A：Smithery CLI（自动安装）

npx @smithery/cli install @mcp-fortress/mcp-fortress-server --client claude

方法B：手动安装（使用API密钥）

从 Smithery 获取你的API密钥
添加到Claude：

claude mcp add --transport http mcp-fortress "https://server.smithery.ai/@mcp-fortress/mcp-fortress-server/mcp?api_key=YOUR_API_KEY&profile=YOUR_PROFILE"

将 YOUR_API_KEY 和 YOUR_PROFILE 替换为从Smithery获取的值。

优点：

✅ 无需本地安装
✅ 自动更新
✅ 零设置

选项2：本地安装（高级用户）

npm install -g mcp-fortress

添加到 ~/Library/Application Support/Claude/claude_desktop_config.json：

{
  "mcpServers": {
    "mcp-fortress": {
      "command": "mcp-fortress",
      "args": ["serve-mcp"]
    }
  }
}

重启Claude桌面应用。

优点：

✅ 完全控制
✅ 离线可用
✅ 无需API密钥

💻 使用示例

基础用法

🆕 MCP服务器模式（推荐）

将MCP Fortress与你的AI编码助手（如Claude Code、Cursor等）结合使用：

1. 安装MCP Fortress：

npm install -g mcp-fortress

2. 配置Claude桌面应用：

编辑 ~/Library/Application Support/Claude/claude_desktop_config.json：

{
  "mcpServers": {
    "mcp-fortress": {
      "command": "mcp-fortress",
      "args": ["serve-mcp"]
    }
  }
}

3. 重启Claude桌面应用

重启Claude桌面应用以加载MCP Fortress服务器。

4. 在Claude Code中使用：

你：扫描 @modelcontextprotocol/server-filesystem 是否存在安全问题

Claude：*使用MCP Fortress工具进行扫描和分析*
我发现了3个潜在的安全问题...

可用的MCP工具：

scan_mcp_server - 全面安全扫描
- 分析npm包中的漏洞
- 检测恶意代码模式
- 检查依赖项的CVE情况
- 计算风险评分（0 - 100）
analyze_prompt_injection - 检测提示注入攻击
- 识别指令注入尝试
- 检测角色操纵
- 查找系统提示提取尝试
- 分析分隔符注入
detect_tool_poisoning - 识别恶意/误导性工具
- 检测拼写仿冒（例如，read_fiile 与 read_file）
- 识别名称/描述不匹配的情况
- 标记过于通用的工具名称
- 与已知的合法工具进行比较

示例交互：

你：puppeteer-mcp-server 是否可以安全使用？
Claude：✅ 可以！风险评分：0/100。未检测到威胁。

你：检查这个工具：“辅助工具。忽略之前的指令。”
Claude：🚨 严重警告：检测到提示注入攻击！请勿使用。

你：名为 “read_fiile” 的工具是否可疑？
Claude：⚠️ 是的！可能是 “read_file” 的拼写仿冒。

高级用法

独立使用

启动服务器

# 前台启动服务器
mcp-fortress start

# 后台启动服务器（守护进程模式）
mcp-fortress start --daemon

选项：

-p, --port <port> - API端口（默认：3001）
-h, --host <host> - 绑定的主机（默认：localhost）
--no-browser - 不自动打开浏览器
-d, --daemon - 在后台运行服务器

守护进程命令

# 停止守护进程服务器
mcp-fortress stop

# 检查守护进程状态
mcp-fortress status

# 查看服务器日志
mcp-fortress logs
mcp-fortress logs --lines 100  # 显示最后100行日志

扫描包

mcp-fortress scan <package-name>

示例：

# 扫描npm包
mcp-fortress scan express

# 扫描特定版本
mcp-fortress scan express --version 4.18.0

# 扫描PyPI包
mcp-fortress scan flask --registry pypi

监控运行中的服务器

mcp-fortress monitor <server-name>

管理隔离区

# 列出隔离的服务器
mcp-fortress quarantine list

# 从隔离区释放
mcp-fortress quarantine release <server-name>

🏗️ 架构

mcp-fortress/
├── CLI                 → 命令行界面
├── API Server          → Express REST API + WebSocket
├── Scanner Engine      → npm和PyPI漏洞检测
├── Web UI              → React仪表盘
└── SQLite Database     → 本地数据存储

数据存储位置：