Aashish-32/cve-lookup-mcp
GitHub: Aashish-32/cve-lookup-mcp
一个无需 API key 的 MCP 服务器,使 AI 助手能够实时查询 NVD 和 EPSS 的 CVE 漏洞详情与利用概率评分。
Stars: 0 | Forks: 0
# cve-lookup-mcp
一个 MCP 服务器,可让 AI 助手实时访问来自[国家漏洞数据库 (NVD)](https://nvd.nist.gov/) 和 [FIRST EPSS](https://www.first.org/epss/) 的 CVE 数据 —— 无需 API key。
专为 [Claude Code](https://claude.ai/code) 及任何其他兼容[模型上下文协议](https://modelcontextprotocol.io/)的客户端而构建。
## 工具
| 工具 | 描述 |
|------|-------------|
| `lookup_cve` | 获取特定 CVE 的完整详情 —— CVSS 分数、描述、受影响的产品、EPSS 利用概率、参考链接 |
| `search_cves` | 通过关键字搜索 NVD,支持可选的严重程度和年份过滤器 |
| `check_product_cves` | 查找特定供应商/产品的所有 HIGH/CRITICAL CVE(在版本指纹识别期间非常有用) |
### 示例提示词
```
Look up CVE-2022-41352
```
```
Search for critical Zimbra RCE vulnerabilities from 2022
```
```
Check CVEs for apache struts
```
## 安装
### 选项 1 — pipx(推荐)
```
pipx install cve-lookup-mcp
```
### 选项 2 — pip
```
pip install cve-lookup-mcp
```
### 选项 3 — 从源码运行
```
git clone https://github.com/Aashish-32/cve-lookup-mcp
cd cve-lookup-mcp
pip install -e .
```
## 配置
添加到你的 `~/.claude.json`(Claude Code)或等效的 MCP 客户端配置中:
```
{
"mcpServers": {
"cve-lookup": {
"command": "cve-lookup-mcp",
"args": []
}
}
}
```
如果是从源码安装的,请直接指向该脚本:
```
{
"mcpServers": {
"cve-lookup": {
"command": "python3",
"args": ["/path/to/cve-lookup-mcp/src/cve_lookup_mcp/server.py"]
}
}
}
```
添加配置后,请重启你的 MCP 客户端。
## 数据源
| 来源 | 提供的内容 | 速率限制 |
|--------|-----------------|------------|
| [NVD API v2](https://nvd.nist.gov/developers/vulnerabilities) | CVE 详情、CVSS 分数、受影响的产品 | ~5 请求/30秒(无 key),50 请求/30秒(有 key) |
| [FIRST EPSS API](https://www.first.org/epss/api) | 利用概率评分 | 无 |
### NVD API key(可选)
如果没有 key,NVD 大约允许每 30 秒 5 次请求。如果需要更频繁地使用,请[向 NVD 申请免费的 API key](https://nvd.nist.gov/developers/request-an-api-key) 并将其设置为环境变量:
```
{
"mcpServers": {
"cve-lookup": {
"command": "cve-lookup-mcp",
"env": {
"NVD_API_KEY": "your-key-here"
}
}
}
}
```
## 开发
```
git clone https://github.com/Aashish-32/cve-lookup-mcp
cd cve-lookup-mcp
python3 -m venv .venv
source .venv/bin/activate
pip install -e .
```
手动运行服务器(stdio 模式):
```
cve-lookup-mcp
```
使用原始 JSON-RPC 调用进行测试:
```
echo '{"jsonrpc":"2.0","id":1,"method":"initialize","params":{"protocolVersion":"2024-11-05","capabilities":{},"clientInfo":{"name":"test","version":"1"}}}' \
| cve-lookup-mcp
```
## 许可证
MIT
标签:AI插件, Blue Team, CVE, DLL 劫持, MCP, Python, 大语言模型, 威胁情报, 开发者工具, 数字签名, 无后门, 漏洞查询, 逆向工具