TimesAndPlaces/mcp-preflight

# MCP 预检 MCP Preflight 是一款快速的本地检查工具，可在您信任新的 MCP server 或发布 agent workflow 之前运行。 它会读取常见的 MCP 配置文件、工具描述、提示词资源和仓库清单，然后用通俗易懂的语言解释有风险的模式，以便您在问题扩大之前进行修复。 这个公开仓库刻意保持专注。它包含 Lite 产品代码以及用户评估所需的相关材料。内部规划、私密运营笔记和维护者的管理工作均被有意排除在公开仓库之外。 ## 检查内容 - `.vscode/mcp.json` 及其他常见的 MCP 配置位置 - 工具描述和提示词资源 - 仓库清单和依赖信号 - 明显包含密钥的文件，例如 `.env` - 有风险的模式，例如嵌入凭据、token 透传、不安全的启动器、不安全的远程目标、提示词注入和工具投毒 ## 为什么选择它 - 默认在本地运行 - Lite 扫描不需要账户 - 专为 MCP preflight 审查构建，而非通用的安全平台 - 扫描结果旨在供开发人员阅读，而不仅仅是审计人员 - 活动日志也保留在本地，因此您可以检查使用情况，而无需将工作区数据发送到后端 ## Lite 和 Pro - Lite 是快速的本地扫描：文本和 JSON 输出、工作区扫描、文件扫描以及核心 MCP 检查 - Pro 解锁了导出和工作流功能：Markdown、HTML 和 SARIF 报告、抑制文件、CI 模式、Git hooks 和策略预设 - Pro 通过本地签名许可证 token 解锁，而不是托管的 MCP Preflight 账户 - 扫描器不需要连接回服务器就能决定 Pro 是否在您的机器上处于激活状态 - 购买 Pro：[Stripe checkout](https://buy.stripe.com/5kQ9AT6eX75v8p605PfIs00) ## 它不是什么 - 不是托管扫描器 - 不是 agent runtime - 不是 SIEM - 不是通用的 AppSec 平台 ## 接下来阅读 - [隐私政策](PRIVACY.md) - [规则概述](RULES.md) - [示例报告](SAMPLE_REPORT.md) - [审计说明](AUDITS.md) - [安全报告](SECURITY.md) ## 命令 - `npm install` - `npm run build` - `npm run typecheck` - `node packages/cli/dist/index.js scan /path/to/workspace` - `node packages/cli/dist/index.js activity status` - `node packages/cli/dist/index.js activity export --format json --output ./mcp-preflight-activity.json` - `node packages/cli/dist/index.js license status` - `node packages/cli/dist/index.js license install --from-file /path/to/license.token` - `node packages/cli/dist/index.js ci /path/to/workspace --policy balanced` - `node packages/cli/dist/index.js hooks install /path/to/repo --hook pre-push` - `node packages/cli/dist/index.js upgrade` - `node packages/cli/dist/index.js review --channel marketplace` - `node packages/cli/dist/index.js support --channel discussions` - `npm run scan -- /path/to/workspace` ## 本地活动 MCP Preflight 会保留一份小型的本地活动日志，以便您回答以下实际问题： - 我实际运行了多少次扫描 - 我遇到 Pro 门槛的频率是多少 - 我是否已经在这台机器上安装了本地 Pro 许可证 该日志仅限本地。它不包含工作区内容，MCP Preflight 也不会将其上传到托管服务。 如果您不想要该日志，请设置 `MCP_PREFLIGHT_DISABLE_ACTIVITY=1`。 如果您想将其存储在其他位置，请设置 `MCP_PREFLIGHT_ACTIVITY_FILE=/path/to/activity-log.jsonl`。 ## 发布版本 - [GitHub Releases](https://github.com/TimesAndPlaces/mcp-preflight/releases) 提供 `.vsix` 文件、CLI bundles 和发布说明 ## 仓库布局 - `packages/core`：共享扫描引擎 - `packages/cli`：命令行入口 - `apps/vscode-extension`：VS Code 集成 ## 支持 - 问题和功能请求：[GitHub Discussions](https://github.com/TimesAndPlaces/mcp-preflight/discussions) - Bug：[GitHub Issues](https://github.com/TimesAndPlaces/mcp-preflight/issues) - 留下评论：[VS Code Marketplace](https://marketplace.visualstudio.com/items?itemName=mcp-preflight.mcp-preflight-vscode) 或 [Open VSX](https://open-vsx.org/extension/mcp-preflight/mcp-preflight-vscode)

标签：Agent 工作流, CLI 工具, DevSecOps, DNS 反向解析, LNA, MCP Server, MCP 安全, MITM代理, StruQ, 上游代理, 凭证泄露检测, 大模型安全, 威胁情报, 开发者工具, 提示词注入检测, 文档结构分析, 暗色界面, 本地安全扫描, 自动化攻击, 错误基检测, 静态代码分析, 风险识别