CSOAI-ORG/meok-mcp-injection-scan-mcp

[](https://glama.ai/mcp/servers/CSOAI-ORG/meok-mcp-injection-scan-mcp) [](https://registry.modelcontextprotocol.io) [](https://pypi.org/project/meok-mcp-injection-scan-mcp/) [](https://glama.ai/mcp/servers/CSOAI-ORG/meok-mcp-injection-scan-mcp) # meok-mcp-injection-scan-mcp [](https://pypi.org/project/meok-mcp-injection-scan-mcp/) [](https://pypistats.org/packages/meok-mcp-injection-scan-mcp) [](LICENSE) [](https://meok.ai) **扫描任何 MCP 服务器，检测 2026 年 4 月 CVE 浪潮中披露的 prompt 注入 / tool 投毒 / SSRF 类漏洞。** ``` pip install meok-mcp-injection-scan-mcp ``` ## 为什么会有这个项目 2026 年 4 月对 MCP 来说是个糟糕的月份。Anthropic 公布了一个“设计层面”的 MCP RCE 漏洞类别，影响了约 7,000 个公共服务器（约 1.5 亿次下载）。`mcp-server-git` 爆出了一个 CVE 漏洞链。DockerDash 被注入链攻破。针对工具描述的 prompt 注入（“tool 投毒”）在所有主流 MCP 宿主上都得到了验证。 如果您在生产环境中运行 MCP 服务器，或者准备在采用前进行审计，您需要一种快速扫描，能够标记出 2026 年 4 月披露所针对的模式。这个 MCP 就是为此而生的扫描工具。 ## 检查内容 跨 5 个严重级别的 **30+ 条标准规则**： - **CRITICAL** — 直接 RCE、system-prompt 覆盖、凭证窃取模式、默认值中的 shell 元字符、file:// / 内网 URL（DockerDash 169.254.169.254 元数据枢轴向量）。 - **HIGH** — 编码载荷、针对 agent 的命令式指令、供应链 prompt、env-var 引用、tool 影子攻击。 - **MEDIUM** — 紧迫性/权威性语言、`additionalProperties=true`、无限制字符串、tool 名称仿冒。 - **LOW** — 过长的描述、零宽度 / bidi-override 字符（U+202E PoC 向量）。 覆盖范围对应于：OWASP LLM Top 10、GenAI Red Team v1、2026 年 4 月 Anthropic MCP RCE 披露以及 `mcp-server-git` CVE 漏洞链。 ## 提供的工具 | 工具 | 用途 | |---|---| | `scan_mcp_url(url)` | 获取远程 MCP 服务器的工具列表并对其进行扫描 | | `audit_tool_descriptions(tools_json)` | 扫描粘贴的 JSON 工具列表（适用于有身份验证的服务器） | | `signed_safety_report(subject, findings_json, score, note)` | 签发采购级别的签名证书（Pro 版） | | `list_rules()` | 在订阅前检查完整的规则目录 | | `pricing()` | 订阅链接 + 套餐对比 | ## 定价 | 套餐 | 价格 | 您将获得 | |---|---|---| | Free | £0 | 每天 5 次扫描，无签名报告 | | Starter | [£29/月](https://buy.stripe.com/4gM6oJ1BW4gi6kd6as8k838) | 无限次扫描 + 签名报告 | | Pro | [£79/月](https://buy.stripe.com/eVq9AV4O87sudMF42k8k839) | + 定期重新扫描 + 48 小时支持 | | Enterprise | [£1,499/月](https://buy.stripe.com/4gM9AV80kaEG0ZT42k8k837) | + 自定义规则包 + 4 小时 SLA | 每份签名证书都可通过 `https://meok-attestation-api.vercel.app/verify/` 访问 — 审计员和采购团队无需账户即可确认。 ## 您不会获得什么 这是一个静态模式扫描器。它不会运行动态污点分析，也不会使用对抗性输入对服务器进行模糊测试，更不能替代人工红队测试。它能在 5 秒内完成 80% 的审计工作，而且是免费的。 ## 由 MEOK AI Labs 构建 独立创始人。伦敦。PyPI 上有 234 个 MCP 包。实时签名基础设施位于 `meok-attestation-api.vercel.app`。店面位于 `councilof.ai`。获取目录：`https://meok-attestation-api.vercel.app/catalogue`。 ## 分发渠道 - **PyPI**：`pip install meok-mcp-injection-scan-mcp`（此包） - **Apify Store** (Pay-Per-Event)：https://apify.com/knowing_yucca/meok-mcp-injection-scan - **GitHub**（源码）：https://github.com/CSOAI-ORG/MEOK-LABS/tree/main/mcps/meok-mcp-injection-scan-mcp - **赞助**：https://github.com/sponsors/CSOAI-ORG · [Pro £79/月 →](https://buy.stripe.com/eVq9AV4O87sudMF42k8k839)

标签：AI安全, Anthropic, Chat Copilot, CISA项目, CIS基准, CVE, IP 地址批量处理, MCP, MIT开源协议, PyPI, Python, RCE, SSRF, XXE攻击, 大模型安全, 安全扫描, 工具投毒, 提示注入, 数字签名, 无后门, 时序注入, 服务器端请求伪造, 模型上下文协议, 编程工具, 网络安全, 远程代码执行, 逆向工具, 隐私保护, 集群管理