LarryLemonBot/gatecheck-oss
GitHub: LarryLemonBot/gatecheck-oss
GateCheck 是一个开源的、只读的 x402 和 MCP 准备工具包,用于检查公共付费 API 或 MCP 服务器是否可发现、可支付、可检查以及受声明限制。
Stars: 1 | Forks: 0
# 门检查
[](https://github.com/LarryLemonBot/gatecheck-oss/actions/workflows/test.yml)
[](https://github.com/LarryLemonBot/gatecheck-oss/actions/workflows/codeql.yml)
[](https://securityscorecards.dev/viewer/?uri=github.com/LarryLemonBot/gatecheck-oss)
[](LICENSE)
GateCheck 是一个开源的、只读的 x402 和 MCP 准备工具包,为付费代理工具卖家提供。它帮助开发者检查在买家或代理将支出路由到之前,公共付费 API 或 MCP 服务器是否可发现、可支付、可检查以及受声明限制。
代码有意采用 stdlib 首选且默认安全。它不包含 LarryBuildsAI 工作区状态、凭证、钱包、客户数据、部署机密或无关产品源。
## 项目状态
GateCheck 是一个 alpha 阶段的 OSS 发布版,具有干净公开的历史记录、MIT 许可证、CI 和专注的安全回归覆盖。当前包对于构建或审查付费 x402/MCP 服务且需要在公共分发之前进行本地、声明限制的预检的开发者最有用。
仓库有意保持小巧:它公开了可重用的 GateCheck 核心、测试和公共文档,而不捆绑 LarryBuildsAI 工作区或托管服务的部署状态。
## 包含内容
- 公共 `.well-known/x402`、OpenAPI、`llms.txt`、`agents.txt` 和 MCP 发现扫描。
- 不付费的 x402 付费路径探测,检查 HTTP 402 挑战行为,无需签名或付费。
- 具有类似秘密证据拒绝的确定性收据。
- 为 x402/MCP 卖家提供代理工具准备度评分。
- 买家安全的 x402 启动包生成。
- 小型 JSON-RPC MCP 表面,用于 GateCheck 工具。
- 针对 SSRF 保护、URL 清理、认证边界、x402 支付助手和声明限制收据的专注测试。
## 安装和测试
```
python -m pip install -e ".[dev]"
python -m pytest -q
```
运行本地扫描:
```
python -m x402_resource_scanner https://example.com --agent-discovery
```
扫描返回包含观察到的公共表面、发现、分数分解和重试命令的结构化 JSON。以下是一个没有 x402 或 MCP 元数据的目标的示例输出:
```
{
"target": "https://example.com",
"score": 0,
"issues": [
"missing .well-known/x402 manifest",
"missing OpenAPI document",
"missing agent llms.txt discovery file",
"missing agents.txt discovery file",
"missing .well-known/mcp.json discovery file",
"MCP endpoint not reachable at /mcp"
],
"scoreBreakdown": {
"confidence": {
"score": 100,
"reasons": [
"public metadata and unpaid checks only; no settlement/downstream execution claims"
]
}
}
}
```
## 维护者工作流程
- CI 在推送和拉取请求上运行完整的 pytest 套件。
- CodeQL 扫描 Python 代码路径以查找安全问题。
- Dependabot 监视 GitHub Actions 和 Python 打包更新。
- OpenSSF Scorecard 记录供应链卫生信号供审阅者使用。
- 安全敏感的行为由私有主机拒绝、认证 URL 拒绝、重定向处理、MCP 认证边界、收据清理和 x402 助手失败关闭行为的回归测试覆盖。
## 安全边界
GateCheck 仅设计用于公共元数据和未付费挑战检查。
- 默认不进行私有端点探测。
- 没有认证 URL。
- 没有cookies、API 密钥、私钥、钱包机密、客户数据或原始支付头。
- 没有签名、资金移动、保管、托管、外展或列表提交。
- 没有市场推荐、认证、排名、客户采用或下游执行声明。
- 扫描器拒绝私有/内部主机和解析为非全局 IP 地址的 DNS 答案。
- 扫描器获取不跟随重定向。
## 核心模块
- `x402_resource_scanner/scanner.py` 检查公共 x402、OpenAPI 和代理发现元数据。
- `x402_resource_scanner/health.py` 探测未付费的 x402 付费路径。
- `x402_resource_scanner/receipt.py` 创建声明限制收据。
- `x402_resource_scanner/readiness.py` 将扫描/探测证据组合成准备度报告。
- `x402_resource_scanner/launch_pack.py` 生成启动工件,而无需发布或外展。
- `x402_resource_scanner/mcp.py` 通过 JSON-RPC 暴露 GateCheck 工具。
- `x402_resource_scanner/x402_payment.py` 实现小型 x402 支付助手原语。
## 托管服务
托管 GateCheck 服务可在以下位置访问:
- 产品主页:`https://proofbeforepay.vercel.app/gatecheck`
- 远程 MCP 端点:`https://proofbeforepay.vercel.app/gatecheck/mcp`
托管服务可能需要特定产品的授权才能执行受保护的工具执行。公共初始化和工具列表发现可用于市场/客户端检查。
源代码库:
- `https://github.com/LarryLemonBot/gatecheck-oss`
## 路线图
公共路线图在 [docs/ROADMAP.md](docs/ROADMAP.md) 和 GitHub 问题中进行跟踪。近期工作重点在于安全固定覆盖、更清晰的演示工件、MCP 客户端示例和更强的公共元数据检查。
发布说明在 [CHANGELOG.md](CHANGELOG.md) 中跟踪。
## 声明边界
GateCheck 仅记录观察到的公共元数据、未付费 402 挑战行为、请求摘要、哈希和生成的工件。它不证明市场推荐、支付结算、安全认证、保管、KYC/AML 覆盖、买家采用或下游执行。
标签:API 可支付性, API 可检查性, API 可用性, API 安全性, API 评估, API 限制, MCP 服务, MCP 检查, MIT 许可, pocsuite3, TLS抓取, x402 检查, 二进制发布, 反取证, 威胁情报, 安全审计工具, 安全审计平台, 安全审计平台提供商, 安全审计服务, 安全审计服务提供商, 安全审计解决方案, 安全审计解决方案提供商, 安全审计软件, 安全审计软件提供商, 安全性测试, 安全测试, 安全测试平台, 安全测试平台提供商, 安全测试服务, 安全测试服务提供商, 安全测试解决方案, 安全测试解决方案提供商, 安全测试软件, 安全测试软件提供商, 安全漏洞, 安全漏洞扫描, 安全漏洞扫描工具, 安全漏洞扫描平台, 安全漏洞扫描平台提供商, 安全漏洞扫描服务, 安全漏洞扫描服务提供商, 安全漏洞扫描解决方案, 安全漏洞扫描解决方案提供商, 安全漏洞扫描软件, 安全漏洞扫描软件提供商, 安全漏洞管理, 安全漏洞管理平台, 安全漏洞管理平台提供商, 安全漏洞管理服务, 安全漏洞管理服务提供商, 安全漏洞管理解决方案, 安全漏洞管理解决方案提供商, 安全漏洞管理软件, 安全漏洞管理软件提供商, 安全评估, 安全评分, 安全评分工具, 安全评分平台, 安全评分平台提供商, 安全评分服务, 安全评分服务提供商, 安全评分解决方案, 安全评分解决方案提供商, 安全评分软件, 安全评分软件提供商, 开发者工具, 开源工具, 开源框架, 持续集成, 攻击性安全, 软件安全, 软件测试, 逆向工具