Show HN: MCP-gateway-scan:用于评估 MCP 生产就绪性的只读扫描器
一句话看懂:一个开源的只读扫描工具,能在几秒内对 MCP(Model Context Protocol)网关代码仓库进行 7 个维度的生产就绪性评估,标记出从授权漏洞到内联密钥的常见反模式,帮助开发者在部署前发现问题。
事件核心:发生了什么
开发者 Willian Pinho 在 GitHub 上发布了 mcp-gateway-scan,这是一个基于 Node.js 的静态扫描器,针对 MCP 网关或 agent 网关的生产就绪性进行快速检查。它不执行代码、不发送网络请求,仅读取项目文件,返回红/黄/绿三色评分,并精确指出风险位置(如 gateway.ts:23)。扫描的 7 个维度包括:工具访问治理与 RBAC、故障关闭/开放姿态、供应链依赖锁定、可观测性、路由与成本控制、密钥与身份、生产就绪性。该工具同时提供 CLI 模式和 MCP 服务器模式,可集成进 Claude Code、Cursor 等 AI 编码环境,允许开发者通过对话直接扫描仓库。项目还关联了更深入的付费审计服务。
为什么重要
MCP 协议正在被越来越多的 AI 应用和 agent 框架采纳,但将 demo 级 MCP 网关推向生产环境时,安全与运维漏洞频发。mcp-gateway-scan 直接瞄准了这一空白:它不仅仅是又一个 linter,而是基于 OWASP Top 10 for LLM Applications 和 MCP 规范(2025-06-18)等方法论,将生产环境的高频事故模式(如模型决定授权、错误处理返回允许、未锁定依赖版本、缺乏观测数据、无预算上限、内联密钥)自动化检出。对于正在构建 AI 网关的企业团队而言,它提供了一种低成本、CI 可集成的准入检查手段,有助于将“上线即翻车”的风险提前暴露在开发阶段。
对用户/开发者/创作者的影响
- MCP 网关开发者:可以直接对仓库运行
npx mcp-gateway-scan .,几秒内获得 7 维评分,明确哪些维度的代码存在严重(S1)风险。例如,错误处理中返回allowed: true会直接被标红。扫描结果可用于改进代码或与团队对齐生产标准。 - 企业采购与技术评估:采购第三方 MCP 网关时,可用该扫描器做快速技术尽职调查,评估供应商是否在生产就绪性上踩了已知坑。扫描输出包含证据位置,有助于深入审查。
- AI 编码编辑器用户:Claude Code、Cursor 用户可安装 MCP 服务器模式,在对话中要求 agent 扫描项目仓库,无需离开编辑器即可完成检查,降低心智负担。
值得关注的后续
- CI 集成效果:该工具支持
--ci参数,允许在 GitHub Actions 等流水线中作为门禁检查。能否被主流 MCP 网关项目采用,将决定其生态影响力。 - 社区贡献与维度扩展:目前扫描维度固定且只读,未来是否会开放用户自定义规则或扩展到更多 LLM 安全风险维度(如 prompt 注入检测)是一个观察点。
- 替代与竞品出现:如果 MCP 生态持续扩大,类似工具的快速涌现可能让该扫描器成为基础参考,但付费审计服务能否形成商业闭环还需时间验证。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
来源:github.com
