mcp-scan : Scanner de sécurité pour les configurations de serveur MCP
mcp-scan est un scanner de sécurité pour les configurations de serveurs MCP (Model Context Protocol). Les serveurs MCP utilisés avec Claude Desktop fonctionnent avec un accès complet à votre système de fichiers et réseau, ce qui rend la configuration de sécurité importante.
Ce que mcp-scan vérifie
L'outil analyse vos configurations MCP pour plusieurs problèmes de sécurité :
- Secrets et clés API laissés accidentellement dans les fichiers de configuration
- Vulnérabilités connues dans les packages MCP
- Modèles d'autorisations suspects
- Vecteurs d'exfiltration
- Attaques par empoisonnement d'outils
Clients pris en charge et utilisation
mcp-scan détecte automatiquement les configurations pour plusieurs clients d'IA, notamment :
- Claude Desktop
- Cursor
- VS Code
- Windsurf
- 6 autres clients d'IA (noms spécifiques non fournis dans la source)
L'outil est exécuté avec une seule commande :
npx mcp-scanCe type d'analyse de sécurité est particulièrement pertinent pour les serveurs MCP car ils ont souvent un accès étendu au système lorsqu'ils sont intégrés aux assistants de codage IA. L'outil semble se concentrer sur les problèmes de sécurité au niveau de la configuration plutôt que sur les vulnérabilités d'exécution.
📖 Read the full source: r/ClaudeAI
👀 See Also
Écart de sécurité OpenClaw résolu par la spécification Agentic Power of Attorney (APOA)
Un développeur a publié une spécification ouverte appelée Agentic Power of Attorney (APOA) pour répondre aux préoccupations de sécurité dans OpenClaw, où les agents accèdent actuellement à des services comme l'email et le calendrier avec seulement des instructions en langage naturel comme garde-fous. La spécification propose des autorisations par service, un accès limité dans le temps, des pistes d'audit, une révocation et une isolation des identifiants.
SupraWall MCP Plugin Bloque les Attaques par Injection de Prompt sur les Agents IA Locaux
SupraWall est un plugin MCP qui intercepte et bloque les tentatives d'exfiltration de données sensibles par des agents d'IA, comme démontré lors d'un défi d'équipe rouge où il a empêché des fuites d'identifiants via des attaques par injection de prompt.
La fuite de la carte source de Claude Code révèle que le JavaScript minifié était déjà public sur npm
Un fichier source map inclus accidentellement dans la version 2.1.88 du package npm @anthropic-ai/claude-code a révélé des commentaires internes des développeurs, mais le fichier cli.js de 13 Mo contenant plus de 148 000 chaînes de texte brut était déjà accessible publiquement sur npm depuis le lancement.
Modèle de sécurité de NanoClaw pour les agents IA : Isolation par conteneurs et code minimal
NanoClaw implémente une architecture de sécurité où chaque agent d'IA s'exécute dans son propre conteneur éphémère avec un accès utilisateur non privilégié, des systèmes de fichiers isolés et des listes d'autorisation de montage explicites. La base de code est délibérément minimale, avec environ un processus et une poignée de fichiers, s'appuyant sur le SDK d'agent d'Anthropic au lieu de réinventer les fonctionnalités.