详细介绍
MCP-Scan是一款用于检测MCP服务器安全漏洞的工具,能够识别提示注入、工具投毒和跨域升级攻击等常见安全问题。它支持多种MCP客户端配置,如Claude、Cursor、Windsurf等,并通过本地检查和调用Invariant Guardrails API增强检测能力。MCP-Scan适用于需要定期检查MCP服务器安全性的开发者和企业用户。
核心功能
MCP-Scan具备多项核心功能,用于全面检测MCP服务器的安全性:
- 支持多种MCP客户端配置,包括Claude、Cursor、Windsurf等。
- 检测提示注入攻击,通过本地检查和调用Invariant Guardrails API识别潜在风险。
- 检测工具投毒攻击,通过工具哈希值识别工具是否被篡改。
- 检测跨域升级攻击,防止MCP工具被恶意替换。
- 提供工具锁定功能,通过哈希值锁定工具,防止工具被意外替换。
- 支持`inspect`命令,用于检查已安装工具的描述信息。
安装方法
MCP-Scan可以通过多种方式安装,包括使用npm或uvx工具进行全局安装。
npm install -g mcp-scan此外,也可以通过以下命令临时运行MCP-Scan:
uvx mcp-scan@latestnpx mcp-scan@latest如果需要从源代码运行,可以按照以下步骤操作:
uv run pip install -e .uv run -m src.mcp_scan.cli使用方法
MCP-Scan的使用非常简单,支持多种命令和参数,以满足不同场景下的需求。
mcp-scan该命令将默认扫描所有已知的MCP配置。
mcp-scan path/to/custom-config.json该命令将针对特定配置文件运行扫描。
mcp-scan --config-file path/to/config.json该命令用于指定配置文件路径进行扫描。
mcp-scan inspect该命令用于仅显示工具描述,而不进行验证。
mcp-scan whitelist tool 'my-tool' 'abc123...'该命令用于将特定工具添加到白名单中。
使用场景
MCP-Scan适用于以下场景:
- 开发者在部署MCP服务器前进行安全检查。
- 企业用户定期扫描MCP配置,确保工具和提示词未被篡改。
- 在MCP客户端配置中检测潜在的跨域升级攻击。
- 通过工具锁定机制防止工具被意外替换。
注意事项
在使用MCP-Scan时,需要注意以下事项:
- MCP-Scan在调用Invariant Guardrails API时,会与invariantlabs.ai共享工具名称和描述。
- 使用MCP-Scan即表示您同意invariantlabs.ai的使用条款和隐私政策。
- MCP-Scan不会存储或记录任何使用数据,仅用于安全检测。
- 如果不想共享工具信息,建议不要使用MCP-Scan。
使用示例
以下是一些MCP-Scan的使用示例:
mcp-scan该命令将扫描所有已知的MCP配置文件,并生成包含扫描结果的JSON文件。
mcp-scan path/to/custom-config.json该命令将针对指定的配置文件运行扫描,并生成相应的报告。
mcp-scan whitelist tool 'my-tool' 'abc123...'该命令将工具`my-tool`及其哈希值添加到白名单中。
MCP-Scan通过这些功能和使用方式,帮助用户全面检测MCP服务器的安全性,防止潜在的安全漏洞。
mcp
安全扫描
工具检测
提示注入
