decoy-run/decoy-redteam

# decoy-redteam 针对 MCP 服务器的自主红队工具。在攻击者发现之前找出可利用的漏洞。 ``` npx decoy-redteam ``` 零依赖。零配置。支持 Claude Desktop、Cursor、Windsurf、VS Code、Claude Code、Zed 和 Cline。 ## 它的功能 连接到你机器上的每一个 MCP 服务器，向它们的工具发送对抗性 payload，并报告哪些可以被利用。它不是扫描器，而是攻击者。 跨 6 大类别的 **53 种攻击模式**： | 类别 | 测试内容 | |----------|---------------| | 输入注入 | SQL 注入、命令注入、路径遍历、SSRF、模板注入 | | 提示注入 | 指令覆盖、角色劫持、间接注入、编码绕过、多轮对话 | | 凭证泄露 | .env 文件、云凭证、SSH 密钥、git token、shell 历史记录 | | 协议攻击 | 畸形 JSON-RPC、权限提升、重放攻击、方法注入 | | Schema 边界 | 类型强制转换、空字节、溢出、原型污染、NoSQL 运算符 | | 权限提升 | 作用域逃逸、未声明的访问权限、点文件枚举、参数走私 | 每一项发现都对应 [OWASP Top 10 for Agentic Applications 2026](https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/)。 ## 用法 ``` # 试运行 — 显示攻击计划而不执行任何操作 npx decoy-redteam # 针对你的 MCP 服务器执行攻击 npx decoy-redteam --live # 针对特定服务器 npx decoy-redteam --live --target=my-server # 用于脚本编写的 JSON 输出 npx decoy-redteam --live --json # 用于 GitHub Security / CI 的 SARIF 输出 npx decoy-redteam --live --sarif # 仅测试特定类别 npx decoy-redteam --live --category=input-injection,credential-exposure ``` ## 安全性 **默认空运行。** 在不带 `--live` 参数的情况下运行 `npx decoy-redteam`，只会显示将要测试的内容，而不会执行任何操作。 **需要确认。** `--live` 模式在执行前会提示明确确认。没有 `--yes` 绕过标志。 **默认安全模式。** 实时执行只运行只读和协议攻击。潜在的破坏性攻击（文件写入等）需要使用 `--live --full` 并附带额外的警告。 ## 输出 ``` decoy-redteam v0.1.0 1 server · 5 tools ── Findings ── ✗ CRITICAL SQL injection — tautology accepted postgres → execute_query("' OR 1=1 --") → query accepted Impact: Attacker can bypass filters and extract all records Fix: Use parameterized queries ASCF-03 · ASI02 ! HIGH Path traversal — arbitrary file read via ../ sequences filesystem → read_file("../../.env") → credentials returned Impact: Read files outside intended directory Fix: Validate paths against an allowlist ASCF-04 · ASI02 ── Coverage ── Tested: 142 of 340 attack patterns (42%) Layer 1: 142 deterministic patterns Layer 2: ~198 AI-adaptive + encoding variants (Guard Pro) ── Summary ── 3 critical · 2 high · 4 medium 142 attacks across 1 server decoy.run/pro — full assessment + exportable reports ``` ## CI/CD ### GitHub Action ``` - name: Red team MCP servers uses: decoy-run/decoy-redteam@v1 ``` 使用选项： ``` - name: Red team MCP servers uses: decoy-run/decoy-redteam@v1 with: target: my-server # Target a specific server category: input-injection # Specific attack categories token: ${{ secrets.DECOY_TOKEN }} # Upload to Guard dashboard pro: true # AI-adaptive attacks (Pro) sarif: true # Upload to GitHub Security tab ``` ### 退出代码 | 代码 | 含义 | |------|---------| | 0 | 无严重或高危发现 | | 1 | 高危发现 | | 2 | 严重发现 | ## Guard Pro 免费的 `decoy-redteam` 运行 53 种确定性攻击模式。[Guard Pro](https://decoy.run/pro) 新增： - **AI 自适应攻击** — 针对你的工具 schema 生成特定的 LLM payload - **编码绕过套件** — 每个注入向量包含 25 种以上的编码变体 - **跨服务器链路发现** — 跨多个服务器寻找攻击路径 - **可导出的 HTML 报告** — 带有品牌标识、可打印的安全评估报告 - **持续红队测试** — 带有漂移检测的定时运行 ## 库 ``` import { discoverConfigs, probeServers, planAttacks, executeAttacks, buildStories, calculateCoverage, toSarif, toJson, ATTACKS, ENCODINGS, } from 'decoy-redteam'; ``` ## 工作原理 1. **发现** 跨 7 个受支持宿主的 MCP 配置 2. **连接** 通过 MCP stdio 协议连接到每个服务器 3. **计划** 通过将模式与工具 schema 匹配来计划攻击 4. **执行** 对每个工具执行 payload（使用连接池） 5. **评估** 评估响应中的成功指标（模式、时序、错误缺失） 6. **报告** 将发现报告为包含影响和修复措施的攻击故事 ## 相关项目 - [decoy-scan](https://github.com/decoy-run/decoy-scan) — MCP 漏洞扫描器（静态分析） - [decoy-tripwire](https://github.com/decoy-run/decoy-tripwire) — AI 代理的 Tripwire 检测 - [Decoy Guard](https://decoy.run) — 仪表盘、监控和威胁情报 ## 许可证 MIT

标签：AI智能体安全, CISA项目, Claude Desktop, Cursor, DAST, GNU通用公共许可证, LNA, MCP服务器安全, MITM代理, Node.js, npx, SARIF输出, SSRF, VS Code, Web报告查看器, 凭据泄露, 动态测试, 协议分析, 协议攻击, 原型污染, 命令注入, 安全助手, 安全合规, 恶意软件分析, 提示注入, 插件系统, 攻击模拟, 权限提升, 模板注入, 网络代理, 网络安全审计, 自动化渗透测试, 自定义脚本, 路径遍历, 集群管理, 零依赖, 零日漏洞检测, 驱动签名利用