mcp-scan: MCPサーバー設定用セキュリティスキャナー
mcp-scanは、MCP(Model Context Protocol)サーバー設定用のセキュリティスキャナーです。Claude Desktopで使用されるMCPサーバーは、ファイルシステムとネットワークへのフルアクセス権限で実行されるため、セキュリティ設定が重要です。
mcp-scanがチェックする内容
このツールは、MCP設定に対して以下のセキュリティ問題をスキャンします:
- 設定ファイルに誤って残されたシークレットやAPIキー
- MCPパッケージの既知の脆弱性
- 不審な権限パターン
- データ流出の経路
- ツール汚染攻撃
対応クライアントと使用方法
mcp-scanは、以下のAIクライアントを含む複数の設定を自動検出します:
- Claude Desktop
- Cursor
- VS Code
- Windsurf
- その他6つのAIクライアント(ソースでは具体的な名称は提供されていません)
このツールは単一のコマンドで実行できます:
npx mcp-scanこの種のセキュリティスキャンは、AIコーディングアシスタントと統合されたMCPサーバーがしばしば広範なシステムアクセス権限を持つため、特に重要です。このツールは、ランタイムの脆弱性ではなく、設定レベルのセキュリティ問題に焦点を当てているようです。
📖 Read the full source: r/ClaudeAI
👀 See Also
AISI評価により、Claude MythosプレビューのCTFおよび多段階攻撃におけるサイバー能力が示される
AIセキュリティ研究所はAnthropicのClaude Mythos Previewを評価し、専門家レベルのキャプチャー・ザ・フラッグ課題の73%を成功裏に完了し、32段階の企業ネットワーク攻撃シミュレーションを10回中3回で解決したことを確認しました。
AI脆弱性発見がパッチ展開時間を上回るペースで進行
セキュリティ専門家は、MythosのようなAIツールが脆弱性を修正の展開よりも速く発見すると主張し、Log4jのデータから平均修復時間が17日、完全排除には10年かかるとの見通しを示している。
Claude Codeのアクセス権限を監査する:ツールアクセス範囲設定の実践ガイド
RedditユーザーがClaude Codeの設定を監査したところ、.envファイルや本番環境の設定を編集できる過剰な権限を持つツールを発見しました。実践的な対策:グローバルとプロジェクトごとのツールを監査し、CLAUDE.mdにシークレットがないか確認し、ディレクトリごとにファイルアクセスを制限すること。
Nullgaze: オープンソースAI対応セキュリティスキャナーがリリース
Nullgazeは、AI生成コードに特有の脆弱性を検出する新しいオープンソースのAI支援セキュリティスキャナーで、誤検知がほぼゼロであることを特徴としています。