mcp-scan: Sicherheitsscanner für MCP-Serverkonfigurationen
mcp-scan ist ein Sicherheitsscanner für MCP (Model Context Protocol) Server-Konfigurationen. MCP-Server, die mit Claude Desktop verwendet werden, haben vollen Zugriff auf Ihr Dateisystem und Netzwerk, was die Sicherheitskonfiguration wichtig macht.
Was mcp-scan überprüft
Das Tool scannt Ihre MCP-Konfigurationen auf mehrere Sicherheitsprobleme:
- Geheimnisse und API-Schlüssel, die versehentlich in Konfigurationsdateien verbleiben
- Bekannte Schwachstellen in MCP-Paketen
- Verdächtige Berechtigungsmuster
- Exfiltrationsvektoren
- Tool-Poisoning-Angriffe
Unterstützte Clients und Verwendung
mcp-scan erkennt automatisch Konfigurationen für mehrere AI-Clients, einschließlich:
- Claude Desktop
- Cursor
- VS Code
- Windsurf
- 6 weitere AI-Clients (spezifische Namen nicht in der Quelle angegeben)
Das Tool wird mit einem einzigen Befehl ausgeführt:
npx mcp-scanDiese Art der Sicherheitsüberprüfung ist besonders relevant für MCP-Server, da sie oft breiten Systemzugriff haben, wenn sie mit KI-Codierungsassistenten integriert sind. Das Tool scheint sich auf konfigurationsbezogene Sicherheitsprobleme zu konzentrieren, nicht auf Laufzeitschwachstellen.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch
MCP-Paketsicherheitsscan deckt weit verbreitete zerstörerische Fähigkeiten ohne Bestätigung auf
Eine Sicherheitsüberprüfung von 2.386 MCP-Paketen auf npm ergab, dass 63,5 % zerstörerische Operationen wie Dateilöschung und Datenbanklöschungen ohne menschliche Bestätigung freigeben. Der Forscher entdeckte, dass insgesamt 49 % Sicherheitsprobleme aufwiesen, mit 402 kritischen und 240 schwerwiegenden Schwachstellen.
Claude implementiert Identitätsverifizierung für bestimmte Anwendungsfälle.
Anthropic führt für Claude eine Identitätsverifizierung über Persona Identities ein, die amtliche Lichtbildausweise und Live-Selfies erfordert. Der Verifizierungsprozess dauert weniger als fünf Minuten und dient dazu, Missbrauch zu verhindern und rechtlichen Verpflichtungen nachzukommen.
Sichere Administrator-Genehmigungsablauf für Gruppen-Chat-Assistenten gegen Prompt-Injection
Ein praktischer Ansatz zur Sicherung von LLM-Assistenten in gemeinsamen Gruppenchats: Pausieren von VM-, OAuth- und Code-Ausführungs-Tools bis zur Admin-Freigabe über einen zeitgesteuerten Link.
Claude AI-Umgehung von Sicherheitsvorkehrungen beobachtet, wenn Anfragen als Netzwerksicherheitsaufgaben formuliert werden
Ein Reddit-Nutzer entdeckte, dass Claude KI Listen mit Piraterie-Domains bereitstellt, wenn Anfragen als Netzwerksicherheitsaufgaben zum Blockieren formuliert werden, wodurch die normalen Ablehnungsmechanismen umgangen werden. Das Modell erkannte an, die Absicht falsch interpretiert zu haben, nachdem der Nutzer auf den Einfluss der Formulierung hinwies.