cblain100-prog/audit-mcp-skill
GitHub: cblain100-prog/audit-mcp-skill
Stars: 0 | Forks: 0
# /audit-mcp — Claude Code 安全审计技能
一款 Claude Code 技能,可在您安装 MCP 服务器之前对其进行安全风险审计。
它会检查:
- **数据渗出** — MCP 是否将您的凭据发送到未知服务器?
- **提示注入** — 工具描述中是否存在隐藏指令?
- **恶意代码** — 是否存在混淆代码(eval、exec、base64 技巧)?
- **凭据窃取** — 是否试图读取您的 SSH 密钥、Claude 配置或其他秘密?
- **供应链风险** — 依赖项是否已锁定?是否存在可疑软件包?
## 安装
### 一行命令安装
```
git clone https://github.com/cblain100-prog/audit-mcp-skill.git ~/.claude/skills/audit-mcp
```
或者在项目级别安装:
```
git clone https://github.com/cblain100-prog/audit-mcp-skill.git .claude/skills/audit-mcp
```
### 手动安装
1. 创建目录:`mkdir -p ~/.claude/skills/audit-mcp`
2. 将 `SKILL.md` 和 `checklist.md` 复制到该目录中
3. 完成。
## 使用方法
在 Claude Code 中,输入:
```
/audit-mcp https://github.com/author/repo-name
```
Claude 将:
1. 将仓库克隆到临时文件夹
2. 读取每个源文件
3. 检查 6 个安全类别
4. 生成带有明确结论的报告:**SAFE**(安全)、**WARNING**(警告)或 **DANGER**(危险)
5. 清理临时文件夹
## 输出示例
```
## MCP 安全审计报告
Repository: https://github.com/example/some-mcp
Date: 2026-03-04
Files analyzed: 4
Lines of code: 312
---
### 判定:安全
Clean codebase, all network calls go to the official API only.
---
### 网络调用
- api.example.com — EXPECTED
### 代码混淆
None found
### 凭据处理
Clean — only accesses expected API key
### Prompt 注入
Tool descriptions are clean
### 文件系统访问
No unauthorized filesystem access
### Dependencies
- Total: 4
- Pinned: yes
- Suspicious: None
---
### 建议
Safe to install.
```
## 推荐:添加到您的 CLAUDE.md
将此内容添加到您项目的 `CLAUDE.md` 中,以便 Claude 始终提醒您在安装前进行审计:
```
## MCP 安全策略
Before installing ANY community MCP server (from GitHub, mcp.so, or any non-official source),
ALWAYS run `/audit-mcp [repo-url]` first. Never install an unaudited MCP.
```
## 工作原理
该技能指示 Claude:
1. **克隆**仓库到 `/tmp/mcp-audit-*`
2. **映射**所有源文件并统计代码行数
3. **分析** 6 个类别:
- 网络调用 (CRITICAL) — 联系的 URL
- 代码混淆 (CRITICAL) — eval、exec、base64 技巧
- 凭据处理 (CRITICAL) — 环境变量访问、秘密文件读取
- 提示注入 (HIGH) — 工具描述中的隐藏指令
- 文件系统访问 (MEDIUM) — 路径遍历、子进程调用
- 依赖项 (MEDIUM) — 数量、版本锁定、可疑软件包
4. **报告**包含明确的结论和建议
5. **清理**临时目录
`checklist.md` 文件为每个类别提供了危险信号和安全模式的详细示例。
## 许可证
MIT
标签:AI安全, Chat Copilot, Claude Code, DNS 反向解析, MCP服务器, StruQ, 代码混淆检测, 依赖安全, 凭证盗窃防护, 大模型安全, 恶意代码扫描, 插件安全, 数据渗漏检测, 文档安全, 服务器监控, 网络安全研究, 错误基检测, 防御加固, 零日漏洞检测, 静态代码分析