tiluckdave/hound-mcp
GitHub: tiluckdave/hound-mcp
一款免费零配置的 MCP 依赖安全审计工具,让 AI 编码代理在安装或更新包时自动检测漏洞、许可证及仿冒风险。
Stars: 9 | Forks: 23
# Hound MCP
**专为 AI 编码代理提供的依赖血hound(bloodhound)。**
[](https://www.npmjs.com/package/hound-mcp)
[](https://www.npmjs.com/package/hound-mcp)
[](https://github.com/tiluckdave/hound-mcp/actions/workflows/ci.yml)
[](LICENSE)
[Hound MCP 部署图](https://github.com/user-attachments/assets/5b1908b8-2bdc-41c3-b95a-bb3677e6e5c3)
## 为什么选择 Hound?
AI 编码代理在推荐和安装包时,通常并不了解它们是否安全——而大多数安全工具需要注册账号、使用 API 密钥或购买付费套餐才能提供相关信息。Hound 解决了这个问题:它扫描漏洞、检查许可证、审计依赖树,并跨 7 大生态系统检测 typosquatting(恶意抢注/仿冒包)——零配置、零 API 密钥、零成本。
Hound 是唯一专门为 AI 编码代理构建的安全工具——支持 npm、PyPI、Go、Cargo、Maven、NuGet 和 RubyGems,并且开箱即用地兼容 Claude Code、Cursor、VS Code 以及任何 MCP 客户端。
它使用两个完全免费且无需认证的公共 API:**[deps.dev](https://deps.dev)** (Google Open Source Insights) 和 **[OSV](https://osv.dev)** (Google Open Source Vulnerabilities)。
## 快速开始
### Claude Code
```
claude mcp add hound -- npx -y hound-mcp
```
### Claude Desktop / Cursor / Windsurf
添加到您的 MCP 配置文件中:
```
{
"mcpServers": {
"hound": {
"command": "npx",
"args": ["-y", "hound-mcp"]
}
}
}
```
### VS Code (Copilot)
```
{
"mcp": {
"servers": {
"hound": {
"type": "stdio",
"command": "npx",
"args": ["-y", "hound-mcp"]
}
}
}
}
```
#### 配置文件位置
| 客户端 | 配置路径 |
| ---------------------- | ----------------------------------------------------------------- |
| Claude Desktop (macOS) | `~/Library/Application Support/Claude/claude_desktop_config.json` |
| Cursor | `~/.cursor/mcp.json` |
| Windsurf | `~/.codeium/windsurf/mcp_config.json` |
## 工具
12 个工具 → [包含示例输出的完整参考](docs/tools.md)
| 工具 | 功能描述 |
| ---------------------- | -------------------------------------------------------------- |
| `hound_audit` ⭐ | 扫描整个 lockfile,检测所有依赖项中的漏洞 |
| `hound_score` | 0–100 Hound 评分(漏洞 + scorecard + 最新情况 + 许可证)及字母等级 |
| `hound_compare` | 并排对比两个包并提供建议 |
| `hound_preinstall` | 在安装包之前提供 GO / CAUTION / NO-GO 判定 |
| `hound_upgrade` | 查找能够解决所有已知漏洞的最低安全升级版本 |
| `hound_license_check` | 根据策略扫描 lockfile 以检查许可证合规性 |
| `hound_vulns` | 特定包版本的所有已知漏洞,按严重程度分组 |
| `hound_inspect` | 完整的包画像 —— 许可证、漏洞、scorecard、星标数、依赖数量 |
| `hound_tree` | 包含传递依赖的完整已解析依赖树 |
| `hound_typosquat` | 检测包名是否存在 typosquatting 变体 |
| `hound_advisories` | 通过 GHSA、CVE 或 OSV ID 获取完整的 Advisory 详情 |
| `hound_popular` | 扫描流行包以查找已知漏洞 |
**支持的生态系统:** `npm` · `pypi` · `go` · `maven` · `cargo` · `nuget` · `rubygems`
## 内置提示词
3 个可直接在您的 AI 客户端中调用的提示词。 → [完整提示词参考](docs/prompts.md)
| Prompt | 功能描述 |
| --------------------- | ------------------------------------------------------------ |
| `security_audit` | 完整的项目安全审计 —— 漏洞、许可证、typosquatting |
| `package_evaluation` | 在添加新依赖之前的 GO / NO-GO 建议 |
| `pre_release_check` | 发布前的依赖扫描,用于标记发布阻碍因素 |
## 用例
→ [查看包含真实 lockfile 和预期输出的完整示例](examples/)
- **合并 PR 之前** —— 扫描 lockfile diff,在漏洞进入主分支前捕获新引入的漏洞
- **审计接手的代码库** —— 在现有的 lockfile 上运行 `hound_audit`,几秒钟即可获得完整报告
- **添加包之前进行检查** —— 使用 `hound_preinstall` 获取 GO / CAUTION / NO-GO 判定
- **许可证合规性** —— 运行 `hound_license_check` 以确保商业项目中不会混入 GPL 或 AGPL 包
- **CI 安全门禁** —— 让您的 AI 代理在每次发布检查中执行安全审计
## 本地开发
```
git clone https://github.com/tiluckdave/hound-mcp.git
cd hound-mcp
pnpm install
pnpm build
pnpm test # run tests
pnpm check # typecheck + lint + test
```
## 路线图
- [ ] **Docker 支持** —— 将 Hound 作为容器运行,以便用于 CI/CD pipeline
- [ ] **`bun.lockb` 解析器** —— 支持 Bun lockfile
- [ ] **`gradle.lockfile` 解析器** —— 支持 Gradle (Java/Android) 生态系统
- [ ] **`hound_diff` 工具** —— 对比两个 lockfile 快照,以发现新引入的风险
- [ ] **GitHub Action** —— 在没有 AI 代理的情况下,将 `hound_audit` 作为 PR 检查运行
## 社区
💬 有问题或想法?[发起讨论](https://github.com/tiluckdave/hound-mcp/discussions)
## 许可证
[MIT](LICENSE) © 2026 Tilak Dave
标签:AI编程助手, MCP, MITM代理, 依赖安全, 暗色界面, 自动化攻击