tiluckdave/hound-mcp

GitHub: tiluckdave/hound-mcp

一款免费零配置的 MCP 依赖安全审计工具,让 AI 编码代理在安装或更新包时自动检测漏洞、许可证及仿冒风险。

Stars: 9 | Forks: 23

# Hound MCP **专为 AI 编码代理提供的依赖血hound(bloodhound)。** [![npm version](https://img.shields.io/npm/v/hound-mcp)](https://www.npmjs.com/package/hound-mcp) [![npm downloads](https://img.shields.io/npm/dw/hound-mcp)](https://www.npmjs.com/package/hound-mcp) [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/ad/ad5834178f7599af9fdda11629d49cae07f2997beec49821b2920eff5bfd50e7.svg)](https://github.com/tiluckdave/hound-mcp/actions/workflows/ci.yml) [![License: MIT](https://img.shields.io/badge/License-MIT-green.svg)](LICENSE) [Hound MCP 部署图](https://github.com/user-attachments/assets/5b1908b8-2bdc-41c3-b95a-bb3677e6e5c3) ## 为什么选择 Hound? AI 编码代理在推荐和安装包时,通常并不了解它们是否安全——而大多数安全工具需要注册账号、使用 API 密钥或购买付费套餐才能提供相关信息。Hound 解决了这个问题:它扫描漏洞、检查许可证、审计依赖树,并跨 7 大生态系统检测 typosquatting(恶意抢注/仿冒包)——零配置、零 API 密钥、零成本。 Hound 是唯一专门为 AI 编码代理构建的安全工具——支持 npm、PyPI、Go、Cargo、Maven、NuGet 和 RubyGems,并且开箱即用地兼容 Claude Code、Cursor、VS Code 以及任何 MCP 客户端。 它使用两个完全免费且无需认证的公共 API:**[deps.dev](https://deps.dev)** (Google Open Source Insights) 和 **[OSV](https://osv.dev)** (Google Open Source Vulnerabilities)。 ## 快速开始 ### Claude Code ``` claude mcp add hound -- npx -y hound-mcp ``` ### Claude Desktop / Cursor / Windsurf 添加到您的 MCP 配置文件中: ``` { "mcpServers": { "hound": { "command": "npx", "args": ["-y", "hound-mcp"] } } } ``` ### VS Code (Copilot) ``` { "mcp": { "servers": { "hound": { "type": "stdio", "command": "npx", "args": ["-y", "hound-mcp"] } } } } ``` #### 配置文件位置 | 客户端 | 配置路径 | | ---------------------- | ----------------------------------------------------------------- | | Claude Desktop (macOS) | `~/Library/Application Support/Claude/claude_desktop_config.json` | | Cursor | `~/.cursor/mcp.json` | | Windsurf | `~/.codeium/windsurf/mcp_config.json` | ## 工具 12 个工具 → [包含示例输出的完整参考](docs/tools.md) | 工具 | 功能描述 | | ---------------------- | -------------------------------------------------------------- | | `hound_audit` ⭐ | 扫描整个 lockfile,检测所有依赖项中的漏洞 | | `hound_score` | 0–100 Hound 评分(漏洞 + scorecard + 最新情况 + 许可证)及字母等级 | | `hound_compare` | 并排对比两个包并提供建议 | | `hound_preinstall` | 在安装包之前提供 GO / CAUTION / NO-GO 判定 | | `hound_upgrade` | 查找能够解决所有已知漏洞的最低安全升级版本 | | `hound_license_check` | 根据策略扫描 lockfile 以检查许可证合规性 | | `hound_vulns` | 特定包版本的所有已知漏洞,按严重程度分组 | | `hound_inspect` | 完整的包画像 —— 许可证、漏洞、scorecard、星标数、依赖数量 | | `hound_tree` | 包含传递依赖的完整已解析依赖树 | | `hound_typosquat` | 检测包名是否存在 typosquatting 变体 | | `hound_advisories` | 通过 GHSA、CVE 或 OSV ID 获取完整的 Advisory 详情 | | `hound_popular` | 扫描流行包以查找已知漏洞 | **支持的生态系统:** `npm` · `pypi` · `go` · `maven` · `cargo` · `nuget` · `rubygems` ## 内置提示词 3 个可直接在您的 AI 客户端中调用的提示词。 → [完整提示词参考](docs/prompts.md) | Prompt | 功能描述 | | --------------------- | ------------------------------------------------------------ | | `security_audit` | 完整的项目安全审计 —— 漏洞、许可证、typosquatting | | `package_evaluation` | 在添加新依赖之前的 GO / NO-GO 建议 | | `pre_release_check` | 发布前的依赖扫描,用于标记发布阻碍因素 | ## 用例 → [查看包含真实 lockfile 和预期输出的完整示例](examples/) - **合并 PR 之前** —— 扫描 lockfile diff,在漏洞进入主分支前捕获新引入的漏洞 - **审计接手的代码库** —— 在现有的 lockfile 上运行 `hound_audit`,几秒钟即可获得完整报告 - **添加包之前进行检查** —— 使用 `hound_preinstall` 获取 GO / CAUTION / NO-GO 判定 - **许可证合规性** —— 运行 `hound_license_check` 以确保商业项目中不会混入 GPL 或 AGPL 包 - **CI 安全门禁** —— 让您的 AI 代理在每次发布检查中执行安全审计 ## 本地开发 ``` git clone https://github.com/tiluckdave/hound-mcp.git cd hound-mcp pnpm install pnpm build pnpm test # run tests pnpm check # typecheck + lint + test ``` ## 路线图 - [ ] **Docker 支持** —— 将 Hound 作为容器运行,以便用于 CI/CD pipeline - [ ] **`bun.lockb` 解析器** —— 支持 Bun lockfile - [ ] **`gradle.lockfile` 解析器** —— 支持 Gradle (Java/Android) 生态系统 - [ ] **`hound_diff` 工具** —— 对比两个 lockfile 快照,以发现新引入的风险 - [ ] **GitHub Action** —— 在没有 AI 代理的情况下,将 `hound_audit` 作为 PR 检查运行 ## 社区 💬 有问题或想法?[发起讨论](https://github.com/tiluckdave/hound-mcp/discussions) Glama MCP server ## 许可证 [MIT](LICENSE) © 2026 Tilak Dave
标签:AI编程助手, MCP, MITM代理, 依赖安全, 暗色界面, 自动化攻击