[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"similar-Puliczek--awesome-mcp-security":3,"tool-Puliczek--awesome-mcp-security":64},[4,16,31,40,48,56],{"id":5,"name":6,"github_repo":7,"description_zh":8,"stars":9,"difficulty_score":10,"last_commit_at":11,"category_tags":12,"status":15},4721,"markitdown","microsoft\u002Fmarkitdown","MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具，专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片（含 OCR）、音频（含语音转录）、HTML 乃至 YouTube 链接等多种格式的解析，能够精准提取文档中的标题、列表、表格和链接等关键结构信息。\n\n在人工智能应用日益普及的今天，大语言模型（LLM）虽擅长处理文本，却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点，它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式，成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外，它还提供了 MCP（模型上下文协议）服务器，可无缝集成到 Claude Desktop 等 LLM 应用中。\n\n这款工具特别适合开发者、数据科学家及 AI 研究人员使用，尤其是那些需要构建文档检索增强生成（RAG）系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性，但其核心优势在于为机器",93400,2,"2026-04-06T19:52:38",[13,14],"插件","开发框架","ready",{"id":17,"name":18,"github_repo":19,"description_zh":20,"stars":21,"difficulty_score":10,"last_commit_at":22,"category_tags":23,"status":15},2268,"ML-For-Beginners","microsoft\u002FML-For-Beginners","ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程，旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周，包含 26 节精炼课程和 52 道配套测验，内容涵盖从基础概念到实际应用的完整流程，有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。\n\n无论是希望转型的开发者、需要补充算法背景的研究人员，还是对人工智能充满好奇的普通爱好者，都能从中受益。课程不仅提供了清晰的理论讲解，还强调动手实践，让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持，通过自动化机制提供了包括简体中文在内的 50 多种语言版本，极大地降低了全球不同背景用户的学习门槛。此外，项目采用开源协作模式，社区活跃且内容持续更新，确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路，ML-For-Beginners 将是理想的起点。",85013,"2026-04-06T11:09:19",[24,25,26,13,27,28,29,14,30],"图像","数据工具","视频","Agent","其他","语言模型","音频",{"id":32,"name":33,"github_repo":34,"description_zh":35,"stars":36,"difficulty_score":37,"last_commit_at":38,"category_tags":39,"status":15},2181,"OpenHands","OpenHands\u002FOpenHands","OpenHands 是一个专注于 AI 驱动开发的开源平台，旨在让智能体（Agent）像人类开发者一样理解、编写和调试代码。它解决了传统编程中重复性劳动多、环境配置复杂以及人机协作效率低等痛点，通过自动化流程显著提升开发速度。\n\n无论是希望提升编码效率的软件工程师、探索智能体技术的研究人员，还是需要快速原型验证的技术团队，都能从中受益。OpenHands 提供了灵活多样的使用方式：既可以通过命令行（CLI）或本地图形界面在个人电脑上轻松上手，体验类似 Devin 的流畅交互；也能利用其强大的 Python SDK 自定义智能体逻辑，甚至在云端大规模部署上千个智能体并行工作。\n\n其核心技术亮点在于模块化的软件智能体 SDK，这不仅构成了平台的引擎，还支持高度可组合的开发模式。此外，OpenHands 在 SWE-bench 基准测试中取得了 77.6% 的优异成绩，证明了其解决真实世界软件工程问题的能力。平台还具备完善的企业级功能，支持与 Slack、Jira 等工具集成，并提供细粒度的权限管理，适合从个人开发者到大型企业的各类用户场景。",70729,3,"2026-04-07T10:51:45",[29,27,14,13],{"id":41,"name":42,"github_repo":43,"description_zh":44,"stars":45,"difficulty_score":10,"last_commit_at":46,"category_tags":47,"status":15},51,"gstack","garrytan\u002Fgstack","gstack 是 Y Combinator CEO Garry Tan 亲自开源的一套 AI 工程化配置，旨在将 Claude Code 升级为你的虚拟工程团队。面对单人开发难以兼顾产品战略、架构设计、代码审查及质量测试的挑战，gstack 提供了一套标准化解决方案，帮助开发者实现堪比二十人团队的高效产出。\n\n这套配置特别适合希望提升交付效率的创始人、技术负责人，以及初次尝试 Claude Code 的开发者。gstack 的核心亮点在于内置了 15 个具有明确职责的 AI 角色工具，涵盖 CEO、设计师、工程经理、QA 等职能。用户只需通过简单的斜杠命令（如 `\u002Freview` 进行代码审查、`\u002Fqa` 执行测试、`\u002Fplan-ceo-review` 规划功能），即可自动化处理从需求分析到部署上线的全链路任务。\n\n所有操作基于 Markdown 和斜杠命令，无需复杂配置，完全免费且遵循 MIT 协议。gstack 不仅是一套工具集，更是一种现代化的软件工厂实践，让单人开发者也能拥有严谨的工程流程。",65999,"2026-04-07T11:10:10",[27,13],{"id":49,"name":50,"github_repo":51,"description_zh":52,"stars":53,"difficulty_score":10,"last_commit_at":54,"category_tags":55,"status":15},3074,"gpt4free","xtekky\u002Fgpt4free","gpt4free 是一个由社区驱动的开源项目，旨在聚合多种可访问的大型语言模型（LLM）和媒体生成接口，让用户能更灵活、便捷地使用前沿 AI 能力。它解决了直接调用各类模型时面临的接口分散、门槛高或成本昂贵等痛点，通过统一的标准将不同提供商的资源整合在一起。\n\n无论是希望快速集成 AI 功能的开发者、需要多模型对比测试的研究人员，还是想免费体验最新技术的普通用户，都能从中受益。gpt4free 提供了丰富的使用方式：既包含易于上手的 Python 和 JavaScript 客户端库，也支持部署本地图形界面（GUI），更提供了兼容 OpenAI 标准的 REST API，方便无缝替换现有应用后端。\n\n其技术亮点在于强大的多提供商支持架构，能够动态调度包括 Opus、Gemini、DeepSeek 等多种主流模型资源，并支持 Docker 一键部署及本地推理。项目秉持社区优先原则，在降低使用门槛的同时，也为贡献者提供了扩展新接口的便利框架，是探索和利用多样化 AI 资源的实用工具。",65970,"2026-04-04T01:02:03",[13,29,27],{"id":57,"name":58,"github_repo":59,"description_zh":60,"stars":61,"difficulty_score":10,"last_commit_at":62,"category_tags":63,"status":15},193,"meilisearch","meilisearch\u002Fmeilisearch","Meilisearch 是一个开源的极速搜索服务，专为现代应用和网站打造，开箱即用。它能帮助开发者快速集成高质量的搜索功能，无需复杂的配置或额外的数据预处理。传统搜索方案往往需要大量调优才能实现准确结果，而 Meilisearch 内置了拼写容错、同义词识别、即时响应等实用特性，并支持 AI 驱动的混合搜索（结合关键词与语义理解），显著提升用户查找信息的体验。\n\nMeilisearch 特别适合 Web 开发者、产品团队或初创公司使用，尤其适用于需要快速上线搜索功能的场景，如电商网站、内容平台或 SaaS 应用。它提供简洁的 RESTful API 和多种语言 SDK，部署简单，资源占用低，本地开发或生产环境均可轻松运行。对于希望在不依赖大型云服务的前提下，为用户提供流畅、智能搜索体验的团队来说，Meilisearch 是一个高效且友好的选择。",56998,"2026-04-07T10:58:23",[24,27,25,14,13,28],{"id":65,"github_repo":66,"name":67,"description_en":68,"description_zh":69,"ai_summary_zh":69,"readme_en":70,"readme_zh":71,"quickstart_zh":72,"use_case_zh":73,"hero_image_url":74,"owner_login":75,"owner_name":76,"owner_avatar_url":77,"owner_bio":78,"owner_company":79,"owner_location":80,"owner_email":79,"owner_twitter":81,"owner_website":82,"owner_url":83,"languages":79,"stars":84,"forks":85,"last_commit_at":86,"license":79,"difficulty_score":87,"env_os":88,"env_gpu":89,"env_ram":89,"env_deps":90,"category_tags":93,"github_topics":94,"view_count":10,"oss_zip_url":79,"oss_zip_packed_at":79,"status":15,"created_at":109,"updated_at":110,"faqs":111,"releases":157},5115,"Puliczek\u002Fawesome-mcp-security","awesome-mcp-security","🔥🔒 Awesome MCP (Model Context Protocol) Security 🖥️","awesome-mcp-security 是一个专注于模型上下文协议（MCP）安全的开源资源合集，旨在为开发者构建安全的 AI 代理系统提供全方位指引。随着 MCP 成为连接大模型与外部工具的关键标准，其潜在的安全风险（如数据泄露、恶意工具调用等）日益凸显，而该项目正是为了解决这一核心痛点而生。\n\n它系统性地整理了官方安全规范、前沿学术论文、技术视频、实战工具代码以及安全服务器实现方案。内容涵盖了从基础的输入验证、访问控制、速率限制，到高级的“人机协同”（Human-in-the-Loop）确认机制等关键防御策略。特别值得一提的是，该项目紧跟协议演进，及时收录了关于 MCP 认证规范更新的讨论，并提供了针对企业级集成的安全框架与审计思路。\n\n无论是正在开发 MCP 服务端或客户端的工程师，还是研究 AI 安全威胁的学者，亦或是希望将 AI 安全落地到生产环境的企业架构师，都能从中找到极具价值的参考。通过汇聚社区智慧与权威分析，awesome-mcp-security 帮助用户在享受 MCP 带来的便捷集成能力时，有效规避安全风险，打造可信的 AI 应用生态。","\u003Cdiv align=\"center\" >🤝 Show your support - give a ⭐️ if you liked the content\n\u003C\u002Fdiv>\n\n---\n\n# **Awesome MCP Security [![Awesome](https:\u002F\u002Fawesome.re\u002Fbadge.svg)](https:\u002F\u002Fawesome.re)**\n\nEverything you need to know about Model Context Protocol (MCP) security.\n\n## Table of Contents\n\n- [Awesome MCP Security](#awesome-mcp-security-)\n  - 📔 [Security Considerations](#-security-considerations)\n  - 📃 [Papers](#-papers)\n  - 📺 [Videos](#-videos)\n  - 📕 [Articles, X threads and Blog Posts](#-articles-x-threads-and-blog-posts)\n  - 🧑‍🚀 [Tools and code](#-tools-and-code)\n  - 💾 [MCP Security Servers](#-mcp-security-servers)\n  - 💻 [Other Useful Resources](#-other-useful-resources)\n \n## 📔 Security Considerations\nOfficial Security Considerations from the [Official MCP Specification Rev: 2025-03-26](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fserver\u002Ftools)\n\n> [!NOTE] \n> 15.04.2025: The current MCP [auth specification](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fbasic\u002Fauthorization) is in progress of being replaced by a more [robust specification](https:\u002F\u002Fgithub.com\u002Fmodelcontextprotocol\u002Fspecification\u002Fpull\u002F284). Please join the conversation if you have concerns around the current auth specification.\n\n- Servers **MUST**:\n  - Validate all tool inputs\n  - Implement proper access controls\n  - Rate limit tool invocations\n  - Sanitize tool outputs\n    \n- Clients **SHOULD**:\n  - Prompt for user confirmation on sensitive operations\n  - Show tool inputs to the user before calling the server, to avoid malicious or accidental data exfiltration\n  - Validate tool results before passing to LLM\n  - Implement timeouts for tool calls\n  - Log tool usage for audit purposes\n    \n> [!WARNING]  \n> For trust & safety and security, clients **MUST** consider tool annotations to be untrusted unless they come from trusted servers.\n\n> [!WARNING]  \n> For trust & safety and security, there **SHOULD** always be a human in the loop* with the ability to deny tool invocations.\n>\n> Applications **SHOULD**:\n>\n> - Provide UI that makes clear which tools are being exposed to the AI model.\n> - Insert clear visual indicators when tools are invoked.\n> - Present confirmation prompts to the user for operations, to ensure a human is in the loop.\n\n> [!NOTE]  \n> *Human-in-the-Loop (HITL) means that user help monitor and guide automated tasks, like deciding whether to accept tool requests in Cursor.\n \n## 📃 Papers\n\n- (2025-08) [Systematic Analysis of MCP Security](https:\u002F\u002Farxiv.org\u002Fpdf\u002F2508.12538)\n- (2025-05) [Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol Ecosystem](https:\u002F\u002Farxiv.org\u002Fabs\u002F2506.02040)\n- (2025-05) [Enterprise-Grade Security for the Model Context Protocol (MCP): Frameworks and Mitigation Strategies](https:\u002F\u002Farxiv.org\u002Fpdf\u002F2504.08623)\n- (2025-04) [Simplified and Secure MCP Gateways for Enterprise AI Integration by Ivo Brett](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.19997)\n- (2025-04) [MCP Guardian: A Security-First Layer for Safeguarding MCP-Based AI System by Sonu Kumar, Anubhav Girdhar, Ritesh Patil, Divyansh Tripathi](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.12757)\n- (2025-04) [MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits by Brandon Radosevich, John Halloran](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.03767)\n- (2025-03) [Model Context Protocol (MCP): Landscape, Security Threats, and Future Research Directions by Xinyi Hou, Yanjie Zhao, Shenao Wang, Haoyu Wang](https:\u002F\u002Farxiv.org\u002Fabs\u002F2503.23278)\n\n## 📺 Videos\n\n- (13.06.2025) [MCP Auth: The Future of AI Agent Security - by Arcade.dev](https:\u002F\u002Fyoutu.be\u002Fzj29lslZxFg?si=j1YYkhycoQcE_rJ0)\n- (17.05.2025) [A2A - MCP SECURITY Threats: Protect your AI Agents by Discover AI](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=h_6unQxHyb4)\n- (06.05.2025) [Making MCP Production Ready – Building MCP for Enterprise - by Arcade.dev](https:\u002F\u002Fyoutu.be\u002Ff1sLBGWnByc?si=wwa7Qm_vDM7VyElr)\n- (11.04.2025) [This MCP Server Trick Can Steal Your API Keys by Prompt Engineering](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=86e49wcXst4)\n- (09.04.2025) [MCP Servers are Security Nightmares... by Better Stack](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=CRKYNyMc4PM)\n- (03.04.2025) [MCP Security: Vetting Servers to Mitigate Tool Poisoning Attacks by JeredBlue](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=LYUDUOevtqk)\n- (03.04.2025) [Model Context Protocol (MCP) Security Concerns by Cory Wolff](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=3DEqIquWCQ4)\n- (02.06.2025) [Agentic Access: OAuth Isn't Enough | Zero Trust for AI Agents w\u002F Nick Taylor (Pomerium + MCP)](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=KY1kCZkqUh0)\n\n## 📕 Articles, X threads and Blog Posts\n\n- (14.08.2025) [MCP Security Best Practices: How to Prevent Risks and Threats by Dmitriy Redkin](https:\u002F\u002Fmcpmanager.ai\u002Fblog\u002Fmcp-security-best-practices\u002F)\n- (08.08.2025) [we hijacked cursor via jira mcp by submitting a support ticket by @mbrg0](https:\u002F\u002Fx.com\u002Fmbrg0\u002Fstatus\u002F1953932780855013682)\n- (28.07.2025) [We built the security layer MCP always needed by Cliff Smith](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F07\u002F28\u002Fwe-built-the-security-layer-mcp-always-needed\u002F)\n- (24.07.2025) [Security Advisory: Anthropic's Slack MCP Server Vulnerable to Data Exfiltration by WUNDERWUZZI](https:\u002F\u002Fembracethered.com\u002Fblog\u002Fposts\u002F2025\u002Fsecurity-advisory-anthropic-slack-mcp-server-data-leakage\u002F)\n- (11.07.2025) [Securing Model Context Protocol (MCP) with Teleport and AWS](https:\u002F\u002Fgoteleport.com\u002Fblog\u002Fsecuring-model-context-protocol-with-teleport-and-aws)\n- (10.07.2025) [Critical mcp-remote Vulnerability Enables Remote Code Execution, Impacting 437,000+ Downloads by Ravie Lakshmanan](https:\u002F\u002Fthehackernews.com\u002F2025\u002F07\u002Fcritical-mcp-remote-vulnerability.html)\n- (06.07.2025) [Combine the Supabase MCP with another MCP that provides exposure to untrusted tokens and a way to send data back out again by Simon Willison](https:\u002F\u002Fx.com\u002Fsimonw\u002Fstatus\u002F1941674715720057258)\n- (05.07.2025) [Neon official remote MCP exploited!](https:\u002F\u002Fwww.tramlines.io\u002Fblog\u002Fneon-official-remote-mcp-exploited-and-guardrailed-with-tramlines)\n- (19.06.2025) [Cato CTRL Threat Research: PoC Attack Targeting Atlassian's Model Context Protocol (MCP) Introduces New \"Living Off AI\" Risk](https:\u002F\u002Fwww.catonetworks.com\u002Fblog\u002Fcato-ctrl-poc-attack-targeting-atlassians-mcp\u002F)\n- (18.06.2025) [Asana Discloses Data Exposure Bug in MCP Server by Greg Pollock](https:\u002F\u002Fwww.upguard.com\u002Fblog\u002Fasana-discloses-data-exposure-bug-in-mcp-server)\n- (30.05.2025) [Poison everywhere: No output from your MCP server is safe by Simcha Kosman](https:\u002F\u002Fwww.cyberark.com\u002Fresources\u002Fthreat-research-blog\u002Fpoison-everywhere-no-output-from-your-mcp-server-is-safe)\n- (26.05.2025) [GitHub MCP Exploited: Accessing private repositories via MCP by invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fmcp-github-vulnerability)\n- (20.05.2025) [Securing the Model Context Protocol: Building a safer agentic future on Windows](https:\u002F\u002Fblogs.windows.com\u002Fwindowsexperience\u002F2025\u002F05\u002F19\u002Fsecuring-the-model-context-protocol-building-a-safer-agentic-future-on-windows\u002F)\n- (16.05.2025) [MCP Security in 2025](https:\u002F\u002Fwww.prompthub.us\u002Fblog\u002Fmcp-security-in-2025)\n- (02.05.2025) [Security Best Practices by Model Context Protocol](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002Fdraft\u002Fbasic\u002Fsecurity_best_practices)\n- (30.04.2025) [Insecure credential storage plagues MCP by Keith Hoodlet](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F30\u002Finsecure-credential-storage-plagues-mcp\u002F)\n- (29.04.2025) [Deceiving users with ANSI terminal codes in MCP by Keith Hoodlet](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F29\u002Fdeceiving-users-with-ansi-terminal-codes-in-mcp\u002F)\n- (29.04.2025) [Building Own MCP - Augmented LLM for Threat Hunting by Eito Tamura](https:\u002F\u002Ftierzerosecurity.co.nz\u002F2025\u002F04\u002F29\u002Fmcp-llm.htm)\n- (23.04.2025) [How MCP servers can steal your conversation history by Keith Hoodlet](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F23\u002Fhow-mcp-servers-can-steal-your-conversation-history)\n- (21.04.2025) [Jumping the line: How MCP servers can attack you before you ever use them](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F21\u002Fjumping-the-line-how-mcp-servers-can-attack-you-before-you-ever-use-them\u002F)\n- (19.04.2025) [OAuth's Role in MCP Security by Gunnar Peterson](https:\u002F\u002Fdefensiblesystems.substack.com\u002Fp\u002Foauths-role-in-mcp-security)\n- (17.04.2025) [Research Briefing: MCP Security by Rami McCarthy](https:\u002F\u002Fwww.wiz.io\u002Fblog\u002Fmcp-security-research-briefing)\n- (17.04.2025) [MCP Not Safe - Reasons and Ideas by Phala Network](https:\u002F\u002Fphala.network\u002Fposts\u002FMCP-Not-Safe-Reasons-and-Ideas)\n- (15.04.2025) [MCP can be a security nightmare for building AI Agents by Rakesh Gohel](https:\u002F\u002Fwww.linkedin.com\u002Fposts\u002Frakeshgohel01_mcp-can-be-a-security-nightmare-for-building-activity-7317536567315636225-zKFp\u002F?utm_source=share&utm_medium=member_desktop&rcm=ACoAAB_LYZwBepPqbIN5g8KzxPVSyzHNUgJhBew)\n- (15.04.2025) [Model Context Protocol (MCP) aka Multiple Cybersecurity Perils by Chris Martorella](https:\u002F\u002Fchrismartorella.ghost.io\u002Fmodel-context-protocol-mcp-aka-multiple-cybersecurity-perils\u002F)\n- (14.04.2025) [Model Context Protocol (MCP) Security by Evren](https:\u002F\u002Fevren.ninja\u002Fmcp-security.html)\n- (14.04.2025) [Security Analysis: Potential AI Agent Hijacking via MCP and A2A Protocol Insights by Nicky](https:\u002F\u002Fmedium.com\u002F@foraisec\u002Fsecurity-analysis-potential-ai-agent-hijacking-via-mcp-and-a2a-protocol-insights-cd1ec5e6045f)\n- (14.04.2025) [MCP Security Checklist: A Security Guide for the AI Tool Ecosystem by slowmist](https:\u002F\u002Fgithub.com\u002Fslowmist\u002FMCP-Security-Checklist)\n- (13.04.2025) [Everything Wrong with MCP by Shrivu Shankar](https:\u002F\u002Fblog.sshh.io\u002Fp\u002Feverything-wrong-with-mcp)\n- (11.04.2025) [Diving Into the MCP Authorization Specification by Allen Zhou](https:\u002F\u002Fwww.descope.com\u002Fblog\u002Fpost\u002Fmcp-auth-spec)\n- (11.04.2025) [Vulnerability Discovered in Base-MCP: Hackers Can Redirect Transactions on Cursor AI and Anthropic Claude by @jlwhoo7](https:\u002F\u002Fx.com\u002Fjlwhoo7\u002Fstatus\u002F1911056723710026120)\n- (09.04.2025) [Here's an example of remote MCP malware that steals your .env secrets in @cursor_ai by Maciej Pulikowski](https:\u002F\u002Fx.com\u002Fpulik_io\u002Fstatus\u002F1910053590921535992)\n- (09.04.2025) [Old Security Rakes In New MCP Yards by Den Delimarsky](https:\u002F\u002Fden.dev\u002Fblog\u002Fsecurity-rakes-mcp\u002F)\n- (09.04.2025) [Model Context Protocol has prompt injection security problems by Simon Willisons](https:\u002F\u002Fsimonwillison.net\u002F2025\u002FApr\u002F9\u002Fmcp-prompt-injection\u002F)\n- (07.04.2025) [(RFC) Update the Authorization specification for MCP servers #284 by localden](https:\u002F\u002Fgithub.com\u002Fmodelcontextprotocol\u002Fmodelcontextprotocol\u002Fpull\u002F284)\n- (07.04.2025) [Improving The Model Context Protocol Authorization Spec - One RFC At A Time by Den Delimarsky](https:\u002F\u002Fden.dev\u002Fblog\u002Fmodel-context-protocol-oauth-rfc\u002F)\n- (07.04.2025) [Running MCP Tools Securely by mcp.run](https:\u002F\u002Fdocs.mcp.run\u002Fblog\u002F2025\u002F04\u002F07\u002Fmcp-run-security\u002F)\n- (07.04.2025) [WhatsApp MCP Exploited: Exfiltrating your message history via MCP by invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fwhatsapp-mcp-exploited)\n- (07.04.2025) [An Introduction to MCP and Authorization by auth0](https:\u002F\u002Fauth0.com\u002Fblog\u002Fan-introduction-to-mcp-and-authorization\u002F)\n- (06.04.2025) [The “S” in MCP Stands for Security by Elena Cross](https:\u002F\u002Felenacross7.medium.com\u002F%EF%B8%8F-the-s-in-mcp-stands-for-security-91407b33ed6b)\n- (04.04.2025) [MCP Servers are not safe! by Mehul Gupta](https:\u002F\u002Fmedium.com\u002Fdata-science-in-your-pocket\u002Fmcp-servers-are-not-safe-bfbc2bb7aef8)\n- (03.04.2025) [Let's fix OAuth in MCP by Aaron Parecki](https:\u002F\u002Faaronparecki.com\u002F2025\u002F04\u002F03\u002F15\u002Foauth-for-model-context-protocol)\n- (03.04.2025) [MCP Resource Poisoning Prompt Injection Attacks by Bernard IQ](https:\u002F\u002Fwww.bernardiq.com\u002Fblog\u002Fresource-poisoning\u002F)\n- (01.04.2025) [MCP Security Notification: Tool Poisoning Attacks by invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fmcp-security-notification-tool-poisoning-attacks)\n- (31.03.2025) [The MCP Authorization Spec Is... a Mess for Enterprise by Christian Posta](https:\u002F\u002Fblog.christianposta.com\u002Fthe-updated-mcp-oauth-spec-is-a-mess\u002F)\n- (31.03.2025) [Securing the Model Context Protocol by Alex Rosenzweig](https:\u002F\u002Fblock.github.io\u002Fgoose\u002Fblog\u002F2025\u002F03\u002F31\u002Fsecuring-mcp\u002F)\n- (29.03.2025) [MCP Servers: The New Security Nightmare by equixly.com](https:\u002F\u002Fequixly.com\u002Fblog\u002F2025\u002F03\u002F29\u002Fmcp-server-new-security-nightmare)\n- (23.03.2025) [AI Model Context Protocol (MCP) and Security by Cisco](https:\u002F\u002Fcommunity.cisco.com\u002Ft5\u002Fsecurity-blogs\u002Fai-model-context-protocol-mcp-and-security\u002Fba-p\u002F5274394)\n- (18.03.2025) [New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents by Ziv Karliner](https:\u002F\u002Fwww.pillar.security\u002Fblog\u002Fnew-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents)\n- (13.02.2025) [Chained commands (&&) bypass yolo mode “denylist” in Cursor by lukemmtt](https:\u002F\u002Fforum.cursor.com\u002Ft\u002Fchained-commands-bypass-yolo-mode-denylist\u002F50775)\n- (18.06.2025) [The Model Context Protocol Security Reality Check](https:\u002F\u002Fthenewstack.io\u002Fthe-model-context-protocol-security-reality-check\u002F)\n\n## 🧑‍🚀 Tools and code\n\n- [MCP Audit Extension - Audit and log all GitHub Copilot MCP tool calls in VSCode with ease](https:\u002F\u002Fgithub.com\u002FAgentity-com\u002Fmcp-audit-extension)\n- [Secure MCP - Security auditing tool to detect MCP vulnerabilities and misconfigurations by makalin](https:\u002F\u002Fgithub.com\u002Fmakalin\u002FSecureMCP)\n- [mcp-context-protector - Security wrapper for MCP servers by trailofbits](https:\u002F\u002Fgithub.com\u002Ftrailofbits\u002Fmcp-context-protector)\n- [AI-Infra-Guard by Tencent Zhuque Lab](https:\u002F\u002Fgithub.com\u002FTencent\u002FAI-Infra-Guard) - MCP Server Security Analysis Tool - a comprehensive, intelligent, easy-to-use, and lightweight AI Infrastructure Vulnerability Assessment.\n- [MCP Guardian - Manage your LLM's access to MCP servers by eqtylab](https:\u002F\u002Fgithub.com\u002Feqtylab\u002Fmcp-guardian)\n- [MCP Tool Poisoning Experiments by invariantlabs-ai](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-injection-experiments)\n- [Google Security Operations and Threat Intelligence MCP Server - Access Google's security products and services](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fmcp-security)\n- [MCP Watch - Vulnerability scanner for MCP servers](https:\u002F\u002Fgithub.com\u002Fkapilduraphe\u002Fmcp-watch)\n- [MCP Security Checklist: A Security Guide for the AI Tool Ecosystem by SlowMist](https:\u002F\u002Fgithub.com\u002Fslowmist\u002FMCP-Security-Checklist)\n- [workers-mcp - Connect Cloudflare Workers with your MCP clients by Cloudflare](https:\u002F\u002Fgithub.com\u002Fcloudflare\u002Fworkers-mcp)\n- [MCP Gateway - Acts as intermediary between LLMs and other MCP servers by lasso-security](https:\u002F\u002Fgithub.com\u002Flasso-security\u002Fmcp-gateway)\n- [AWS Security MCP - Access AWS security tools by groovyBugify](https:\u002F\u002Fgithub.com\u002FgroovyBugify\u002Faws-security-mcp)]\n- [MCPAuth: Gateway Authentication for Secure Enterprise MCP Integrations by Oide Brett](https:\u002F\u002Fgithub.com\u002Foidebrett\u002Fmcpauth)\n- [mcpserverscanner.com by orgor](https:\u002F\u002Fmcpserverscanner.com\u002F)\n- [mcpscan.ai](https:\u002F\u002Fmcpscan.ai\u002F)\n- [Damn Vulnerable MCP Server by harishsg993010](https:\u002F\u002Fgithub.com\u002Fharishsg993010\u002Fdamn-vulnerable-MCP-server)\n- [ToolHive - making MCP servers easy and secure by StacklokLabs](https:\u002F\u002Fgithub.com\u002FStacklokLabs\u002Ftoolhive)\n- [MCP-Shield – Detect security issues in MCP servers by riseandignite](https:\u002F\u002Fgithub.com\u002Friseandignite\u002Fmcp-shield)\n- [mcp-scan by invariantlabs-ai](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-scan)\n- [MCP Ethical Hacking by cmpxchg16](https:\u002F\u002Fgithub.com\u002Fcmpxchg16\u002Fmcp-ethical-hacking)\n- [mcp-injection-experiments by invariantlabs-ai](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-injection-experiments)\n- [MCP Defender - Blocks malicious MCP traffic](https:\u002F\u002Fgithub.com\u002FMCP-Defender\u002FMCP-Defender)\n- [Octocode](https:\u002F\u002Fgithub.com\u002Fbgauryy\u002Foctocode-mcp) - AI-powered developer assistant that enables advanced research, analysis and discovery across GitHub ecosystem. Allow smart search of security patterns across repositories.\n- [Defenter](https:\u002F\u002Fdefenter.ai\u002F) - Real-time semantic monitoring of AI coding agents and MCP server communication to protect from data leaks, context contamination, and malicious prompt injections.\n- [MCP-Dandan](https:\u002F\u002Fgithub.com\u002F82ch\u002FMCP-Dandan) - Desktop security tool for real-time monitoring, threat detection, and control of MCP tool invocations.\n\n## 💾 MCP Security Servers\n- [Nuclei MCP Integration by addcontent](https:\u002F\u002Fgithub.com\u002Faddcontent\u002Fnuclei-mcp) - Provides a standardized MCP interface for Nuclei, a fast and customizable vulnerabilty scanner, for performing scans and managing vulnerablity assessments\n- [Illumio MCP Server by alexgoller](https:\u002F\u002Fgithub.com\u002Falexgoller\u002Fillumio-mcp-server) - MCP server for interacting with Illumio Policy Compute Engine for Illumio workload management, label operations, traffic flow analysis\n- [TriageMCP by eversinc33](https:\u002F\u002Fgithub.com\u002Feversinc33\u002FTriageMCP) - MCP server for doing basic static triage of Portable Executable (PE) files\n- [RunReveal MCP Server](https:\u002F\u002Fdocs.runreveal.com\u002Freference\u002Fmodel-context-protocol) - MCP server for RunReveal to query security logs at scale\n- [Semgrep MCP Server](https:\u002F\u002Fgithub.com\u002Fsemgrep\u002Fmcp) - MCP server for using Semgrep to scan code for vulnerabilities\n- [GhidraMCP by LaurieWired](https:\u002F\u002Fgithub.com\u002FLaurieWired\u002FGhidraMCP) - MCP server for automatic reverse engineering in Ghidra, a software reverse engineering platform.\n- [IDA-Pro-MCP by mrexodia](https:\u002F\u002Fgithub.com\u002Fmrexodia\u002Fida-pro-mcp) - MCP server for reverse engineering in IDA Pro, a tool for analyzing software and binary files.\n- [binaryninja-mcp by MCPPhalanx](https:\u002F\u002Fgithub.com\u002FMCPPhalanx\u002Fbinaryninja-mcp) - MCP server for Binary Ninja, a binary analysis tool.\n- [Burp Suite MCP by PortSwigger](https:\u002F\u002Fgithub.com\u002FPortSwigger\u002Fmcp-server) - MCP integration for web security testing in Burp Suite, a security testing tool for web applications.\n- [BloodHound-MCP-AI by MorDavid](https:\u002F\u002Fgithub.com\u002FMorDavid\u002FBloodHound-MCP-AI) - MCP server integration for BloodHound, a tool for analyzing Active Directory domains.\n- [RoadRecon MCP by atomicchonk](https:\u002F\u002Fgithub.com\u002Fatomicchonk\u002Froadrecon_mcp_server) - MCP server for Azure AD data analysis with ROADRecon, a tool for mapping Azure Active Directory environments.\n- [Jadx MCP Plugin by mobilehackinglab](https:\u002F\u002Fgithub.com\u002Fmobilehackinglab\u002Fjadx-mcp-plugin) - Jadx plugin for MCP server access via HTTP, used for decompiling Android apps.\n- [VirusTotal MCP Server by BurtTheCoder](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-virustotal) - MCP server for querying the VirusTotal API, a service for analyzing files and URLs for viruses.\n- [Shodan MCP Server by BurtTheCoder](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-shodan) - MCP server for querying the Shodan API, which provides data on Internet-connected devices.\n- [DNStwist MCP Server by BurtTheCoder](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-dnstwist) - MCP server for DNS fuzzing with dnstwist, a tool for detecting phishing and domain takeover threats.\n- [Maigret MCP Server by BurtTheCoder](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-maigret) - MCP server for OSINT data collection with Maigret, a tool that gathers user info from various sources.\n- [pomerium\u002Fpomerium](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fpomerium) - Identity-aware proxy with native support for Zero Trust access, now including MCP support.\n  - Example implementations:\n    - [pomerium\u002Fmcp-app-demo](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fmcp-app-demo)\n    - [pomerium\u002Fmcp-servers](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fmcp-servers)\n- [urldna\u002Fmcp](https:\u002F\u002Fgithub.com\u002Furldna\u002Fmcp) - urlDNA MCP server for phishing detection and URL analysis through advanced contextual scanning.\n\n## 💻 Other Useful Resources\n\n- [Awesome Cybersecurity Agentic AI](https:\u002F\u002Fgithub.com\u002Fraphabot\u002Fawesome-cybersecurity-agentic-ai) - Collection of resources on using AI agents for security use cases\n- (31.03.2025) [I gave Claude root access to my server... Model Context Protocol explained by Fireship](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=HyzlYwjoXOQ)\n- (17.03.2025) [Model Context Protocol (MCP): The Key To Agentic AI by Jack Herrington](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=VChRPFUzJGA)\n- [Official MCP Specification](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fserver\u002Ftools)\n- [Model Context Protocol - Official MCP website](https:\u002F\u002Fmodelcontextprotocol.io\u002F) \n\n \n# 😎 Contributing\n👍🎉 First off, thanks for taking the time to contribute! 🎉👍\n\n[Please read and follow our contributing guide](https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fblob\u002Fmain\u002FCONTRIBUTING.md)\n\nThanks! 🦄\n\n\n# 🤝 Show your support\n\n\u003Cdiv>🤝 Show your support - give a ⭐️ if you liked the content\u003C\u002Fdiv>\n\n# ✔️ Disclaimer\nThis project can only be used for educational purposes. Using this resource against target systems without prior permission is illegal, and any damages from misuse of this software will not be the responsibility of the author.\n","\u003Cdiv align=\"center\" >🤝 表达你的支持 - 如果你喜欢这个内容，就给个⭐️吧\n\u003C\u002Fdiv>\n\n---\n\n# **Awesome MCP Security [![Awesome](https:\u002F\u002Fawesome.re\u002Fbadge.svg)](https:\u002F\u002Fawesome.re)**\n\n关于模型上下文协议（MCP）安全性的所有你需要了解的内容。\n\n## 目录\n\n- [Awesome MCP Security](#awesome-mcp-security-)\n  - 📔 [安全考量](#-security-considerations)\n  - 📃 [论文](#-papers)\n  - 📺 [视频](#-videos)\n  - 📕 [文章、X平台帖子和博客文章](#-articles-x-threads-and-blog-posts)\n  - 🧑‍🚀 [工具和代码](#-tools-and-code)\n  - 💾 [MCP 安全服务器](#-mcp-security-servers)\n  - 💻 [其他实用资源](#-other-useful-resources)\n \n## 📔 安全考量\n来自[官方 MCP 规范 Rev: 2025-03-26](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fserver\u002Ftools)的官方安全考量\n\n> [!NOTE] \n> 2025年4月15日：当前的 MCP [认证规范](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fbasic\u002Fauthorization) 正在被一个更[健壮的规范](https:\u002F\u002Fgithub.com\u002Fmodelcontextprotocol\u002Fspecification\u002Fpull\u002F284)所取代。如果你对当前的认证规范有任何担忧，请加入讨论。\n\n- 服务器**必须**：\n  - 验证所有工具输入\n  - 实施适当访问控制\n  - 对工具调用进行速率限制\n  - 对工具输出进行净化\n    \n- 客户端**应该**：\n  - 在执行敏感操作时提示用户确认\n  - 在调用服务器之前向用户展示工具输入，以避免恶意或意外的数据泄露\n  - 在将工具结果传递给 LLM 之前进行验证\n  - 为工具调用设置超时机制\n  - 记录工具使用情况以便审计\n    \n> [!WARNING]  \n> 为了信任与安全，客户端**必须**将工具注释视为不可信，除非它们来自受信任的服务器。\n\n> [!WARNING]  \n> 为了信任与安全，始终**应该**有人在流程中参与*，并有权拒绝工具调用。\n>\n> 应用程序**应该**：\n>\n> - 提供清晰的用户界面，明确哪些工具正在被暴露给 AI 模型。\n> - 在工具被调用时插入明显的视觉提示。\n> - 向用户提供确认提示，以确保有人在流程中参与。\n\n> [!NOTE]  \n> *“人在回路”（HITL）是指用户帮助监控和指导自动化任务，例如决定是否接受 Cursor 中的工具请求。\n\n## 📃 论文\n\n- (2025年8月) [MCP 安全性的系统性分析](https:\u002F\u002Farxiv.org\u002Fpdf\u002F2508.12538)\n- (2025年5月) [超越协议：揭示模型上下文协议生态系统中的攻击向量](https:\u002F\u002Farxiv.org\u002Fabs\u002F2506.02040)\n- (2025年5月) [面向企业级的模型上下文协议（MCP）安全：框架与缓解策略](https:\u002F\u002Farxiv.org\u002Fpdf\u002F2504.08623)\n- (2025年4月) [Ivo Brett 的简化且安全的 MCP 网关，用于企业 AI 集成](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.19997)\n- (2025年4月) [MCP Guardian：Sonu Kumar、Anubhav Girdhar、Ritesh Patil 和 Divyansh Tripathi 开发的以安全为先的层，用于保护基于 MCP 的 AI 系统](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.12757)\n- (2025年4月) [MCP 安全审计：带有模型上下文协议的 LLM 允许重大安全漏洞——Brandon Radosevich 和 John Halloran 的研究](https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.03767)\n- (2025年3月) [模型上下文协议（MCP）：现状、安全威胁及未来研究方向——Xinyi Hou、Yanjie Zhao、Shenao Wang 和 Haoyu Wang 的研究](https:\u002F\u002Farxiv.org\u002Fabs\u002F2503.23278)\n\n## 📺 视频\n\n- (2025年6月13日) [MCP 认证：AI 代理安全的未来——由 Arcade.dev 制作](https:\u002F\u002Fyoutu.be\u002Fzj29lslZxFg?si=j1YYkhycoQcE_rJ0)\n- (2025年5月17日) [A2A - MCP 安全威胁：保护你的 AI 代理——由 Discover AI 制作](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=h_6unQxHyb4)\n- (2025年5月6日) [使 MCP 适合生产环境——为企业构建 MCP——由 Arcade.dev 制作](https:\u002F\u002Fyoutu.be\u002Ff1sLBGWnByc?si=wwa7Qm_vDM7VyElr)\n- (2025年4月11日) [这个 MCP 服务器技巧可能会窃取你的 API 密钥——由 Prompt Engineering 制作](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=86e49wcXst4)\n- (2025年4月9日) [MCP 服务器是安全噩梦……——由 Better Stack 制作](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=CRKYNyMc4PM)\n- (2025年4月3日) [MCP 安全：审查服务器以减轻工具中毒攻击——由 JeredBlue 制作](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=LYUDUOevtqk)\n- (2025年4月3日) [Cory Wolff 关于模型上下文协议（MCP）安全问题的观点](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=3DEqIquWCQ4)\n- (2025年6月2日) [代理式访问：OAuth 不够 | Nick Taylor 的零信任 AI 代理方案（Pomerium + MCP）](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=KY1kCZkqUh0)\n\n## 📕 文章、X平台帖子和博客文章\n\n- (14.08.2025) [MCP安全最佳实践：如何防范风险与威胁，作者：德米特里·雷德金](https:\u002F\u002Fmcpmanager.ai\u002Fblog\u002Fmcp-security-best-practices\u002F)\n- (08.08.2025) [通过提交支持工单，我们利用Jira MCP劫持了光标，作者：@mbrg0](https:\u002F\u002Fx.com\u002Fmbrg0\u002Fstatus\u002F1953932780855013682)\n- (28.07.2025) [我们构建了MCP一直需要的安全层，作者：克利夫·史密斯](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F07\u002F28\u002Fwe-built-the-security-layer-mcp-always-needed\u002F)\n- (24.07.2025) [安全公告：Anthropic的Slack MCP服务器存在数据泄露漏洞，作者：WUNDERWUZZI](https:\u002F\u002Fembracethered.com\u002Fblog\u002Fposts\u002F2025\u002Fsecurity-advisory-anthropic-slack-mcp-server-data-leakage\u002F)\n- (11.07.2025) [使用Teleport和AWS保护模型上下文协议(MCP)，作者：Goteleport](https:\u002F\u002Fgoteleport.com\u002Fblog\u002Fsecuring-model-context-protocol-with-teleport-and-aws)\n- (10.07.2025) [严重mcp-remote漏洞可导致远程代码执行，影响超过43.7万次下载，作者：拉维·拉克什曼](https:\u002F\u002Fthehackernews.com\u002F2025\u002F07\u002Fcritical-mcp-remote-vulnerability.html)\n- (06.07.2025) [将Supabase MCP与其他提供不受信任令牌暴露途径并能将数据回传出去的MCP结合使用，作者：西蒙·威利森](https:\u002F\u002Fx.com\u002Fsimonw\u002Fstatus\u002F1941674715720057258)\n- (05.07.2025) [Neon官方远程MCP已被利用！](https:\u002F\u002Fwww.tramlines.io\u002Fblog\u002Fneon-official-remote-mcp-exploited-and-guardrailed-with-tramlines)\n- (19.06.2025) [Cato CTRL威胁研究：针对Atlassian模型上下文协议(MCP)的PoC攻击引入了新的“依靠AI生存”风险，作者：Cato Networks](https:\u002F\u002Fwww.catonetworks.com\u002Fblog\u002Fcato-ctrl-poc-attack-targeting-atlassians-mcp\u002F)\n- (18.06.2025) [Asana披露MCP服务器中的数据泄露漏洞，作者：格雷格·波洛克](https:\u002F\u002Fwww.upguard.com\u002Fblog\u002Fasana-discloses-data-exposure-bug-in-mcp-server)\n- (30.05.2025) [毒药无处不在：你的MCP服务器没有任何输出是安全的，作者：辛查·科斯曼](https:\u002F\u002Fwww.cyberark.com\u002Fresources\u002Fthreat-research-blog\u002Fpoison-everywhere-no-output-from-your-mcp-server-is-safe)\n- (26.05.2025) [GitHub MCP被利用：通过MCP访问私有仓库，作者：invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fmcp-github-vulnerability)\n- (20.05.2025) [保护模型上下文协议：在Windows上构建更安全的代理式未来，作者：微软Windows体验博客](https:\u002F\u002Fblogs.windows.com\u002Fwindowsexperience\u002F2025\u002F05\u002F19\u002Fsecuring-the-model-context-protocol-building-a-safer-agentic-future-on-windows\u002F)\n- (16.05.2025) [2025年的MCP安全](https:\u002F\u002Fwww.prompthub.us\u002Fblog\u002Fmcp-security-in-2025)\n- (02.05.2025) [模型上下文协议的安全最佳实践](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002Fdraft\u002Fbasic\u002Fsecurity_best_practices)\n- (30.04.2025) [不安全的凭据存储困扰着MCP，作者：基思·胡德莱特](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F30\u002Finsecure-credential-storage-plagues-mcp\u002F)\n- (29.04.2025) [利用ANSI终端代码欺骗MCP用户，作者：基思·胡德莱特](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F29\u002Fdeceiving-users-with-ansi-terminal-codes-in-mcp\u002F)\n- (29.04.2025) [构建自有MCP——用于威胁狩猎的增强型LLM，作者：Eito Tamura](https:\u002F\u002Ftierzerosecurity.co.nz\u002F2025\u002F04\u002F29\u002Fmcp-llm.htm)\n- (23.04.2025) [MCP服务器如何窃取你的对话历史，作者：基思·胡德莱特](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F23\u002Fhow-mcp-servers-can-steal-your-conversation-history)\n- (21.04.2025) [插队：MCP服务器如何在你尚未使用它们之前就对你发动攻击，作者：Trail of Bits](https:\u002F\u002Fblog.trailofbits.com\u002F2025\u002F04\u002F21\u002Fjumping-the-line-how-mcp-servers-can-attack-you-before-you-ever-use-them\u002F)\n- (19.04.2025) [OAuth在MCP安全中的作用，作者：冈纳尔·彼得森](https:\u002F\u002Fdefensiblesystems.substack.com\u002Fp\u002Foauths-role-in-mcp-security)\n- (17.04.2025) [研究简报：MCP安全，作者：Rami McCarthy](https:\u002F\u002Fwww.wiz.io\u002Fblog\u002Fmcp-security-research-briefing)\n- (17.04.2025) [MCP并不安全——原因与建议，作者：Phala Network](https:\u002F\u002Fphala.network\u002Fposts\u002FMCP-Not-Safe-Reasons-and-Ideas)\n- (15.04.2025) [对于构建AI代理而言，MCP可能是一场安全噩梦，作者：拉凯什·戈赫尔](https:\u002F\u002Fwww.linkedin.com\u002Fposts\u002Frakeshgohel01_mcp-can-be-a-security-nightmare-for-building-activity-7317536567315636225-zKFp\u002F?utm_source=share&utm_medium=member_desktop&rcm=ACoAAB_LYZwBepPqbIN5g8KzxPVSyzHNUgJhBew)\n- (15.04.2025) [模型上下文协议(MCP)，又称多重网络安全隐患，作者：克里斯·马托雷拉](https:\u002F\u002Fchrismartorella.ghost.io\u002Fmodel-context-protocol-mcp-aka-multiple-cybersecurity-perils\u002F)\n- (14.04.2025) [模型上下文协议(MCP)的安全性，作者：Evren](https:\u002F\u002Fevren.ninja\u002Fmcp-security.html)\n- (14.04.2025) [安全分析：通过MCP及A2A协议见解，潜在的AI代理劫持，作者：Nicky](https:\u002F\u002Fmedium.com\u002F@foraisec\u002Fsecurity-analysis-potential-ai-agent-hijacking-via-mcp-and-a2a-protocol-insights-cd1ec5e6045f)\n- (14.04.2025) [MCP安全检查清单：面向AI工具生态系统的安全指南，作者：slowmist](https:\u002F\u002Fgithub.com\u002Fslowmist\u002FMCP-Security-Checklist)\n- (13.04.2025) [MCP的所有问题，作者：Shrivu Shankar](https:\u002F\u002Fblog.sshh.io\u002Fp\u002Feverything-wrong-with-mcp)\n- (11.04.2025) [深入探讨MCP授权规范，作者：Allen Zhou](https:\u002F\u002Fwww.descope.com\u002Fblog\u002Fpost\u002Fmcp-auth-spec)\n- (11.04.2025) [Base-MCP中发现漏洞：黑客可在Cursor AI和Anthropic Claude上重定向交易，作者：@jlwhoo7](https:\u002F\u002Fx.com\u002Fjlwhoo7\u002Fstatus\u002F1911056723710026120)\n- (09.04.2025) [这里有一个远程MCP恶意软件的例子，它会在@cursor_ai中窃取你的.env秘密，作者：马切伊·普利科夫斯基](https:\u002F\u002Fx.com\u002Fpulik_io\u002Fstatus\u002F1910053590921535992)\n- (09.04.2025) [旧的安全措施为MCP带来了新问题，作者：Den Delimarsky](https:\u002F\u002Fden.dev\u002Fblog\u002Fsecurity-rakes-mcp\u002F)\n- (09.04.2025) [模型上下文协议存在提示注入安全问题，作者：西蒙·威利森](https:\u002F\u002Fsimonwillison.net\u002F2025\u002FApr\u002F9\u002Fmcp-prompt-injection\u002F)\n- (07.04.2025) [(RFC) 更新MCP服务器的授权规范 #284，作者：localden](https:\u002F\u002Fgithub.com\u002Fmodelcontextprotocol\u002Fmodelcontextprotocol\u002Fpull\u002F284)\n- (07.04.2025) [逐步改进模型上下文协议授权规范——一次一个RFC，作者：Den Delimarsky](https:\u002F\u002Fden.dev\u002Fblog\u002Fmodel-context-protocol-oauth-rfc\u002F)\n- (07.04.2025) [mcp.run关于安全运行MCP工具的指南](https:\u002F\u002Fdocs.mcp.run\u002Fblog\u002F2025\u002F04\u002F07\u002Fmcp-run-security\u002F)\n- (07.04.2025) [WhatsApp MCP被利用：通过MCP窃取你的消息记录，作者：invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fwhatsapp-mcp-exploited)\n- (07.04.2025) [MCP与授权简介，作者：Auth0](https:\u002F\u002Fauth0.com\u002Fblog\u002Fan-introduction-to-mcp-and-authorization\u002F)\n- (06.04.2025) [MCP中的“S”代表安全，作者：埃琳娜·克罗斯](https:\u002F\u002Felenacross7.medium.com\u002F%EF%B8%8F-the-s-in-mcp-stands-for-security-91407b33ed6b)\n- (04.04.2025) [MCP服务器并不安全！，作者：梅胡尔·古普塔](https:\u002F\u002Fmedium.com\u002Fdata-science-in-your-pocket\u002Fmcp-servers-are-not-safe-bfbc2bb7aef8)\n- (03.04.2025) [让我们修复MCP中的OAuth，作者：亚伦·帕雷基](https:\u002F\u002Faaronparecki.com\u002F2025\u002F04\u002F03\u002F15\u002Foauth-for-model-context-protocol)\n- (03.04.2025) [MCP资源污染与提示注入攻击，作者：Bernard IQ](https:\u002F\u002Fwww.bernardiq.com\u002Fblog\u002Fresource-poisoning\u002F)\n- (01.04.2025) [MCP安全通知：工具污染攻击，作者：invariantlabs.ai](https:\u002F\u002Finvariantlabs.ai\u002Fblog\u002Fmcp-security-notification-tool-poisoning-attacks)\n- (31.03.2025) [MCP授权规范对企业来说……一团糟，作者：克里斯蒂安·波斯塔](https:\u002F\u002Fblog.christianposta.com\u002Fthe-updated-mcp-oauth-spec-is-a-mess\u002F)\n- (31.03.2025) [保护模型上下文协议，作者：Alex Rosenzweig](https:\u002F\u002Fblock.github.io\u002Fgoose\u002Fblog\u002F2025\u002F03\u002F31\u002Fsecuring-mcp\u002F)\n- (29.03.2025) [MCP服务器：新的安全噩梦，作者：equixly.com](https:\u002F\u002Fequixly.com\u002Fblog\u002F2025\u002F03\u002F29\u002Fmcp-server-new-security-nightmare)\n- (23.03.2025) [AI模型上下文协议(MCP)与安全，作者：思科](https:\u002F\u002Fcommunity.cisco.com\u002Ft5\u002Fsecurity-blogs\u002Fai-model-context-protocol-mcp-and-security\u002Fba-p\u002F5274394)\n- (18.03.2025) [GitHub Copilot和Cursor的新漏洞：黑客如何将代码代理武器化，作者：Ziv Karliner](https:\u002F\u002Fwww.pillar.security\u002Fblog\u002Fnew-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents)\n- (13.02.2025) [链式命令(&&)可绕过Cursor的“拒绝列表”YOLO模式，作者：lukemmtt](https:\u002F\u002Fforum.cursor.com\u002Ft\u002Fchained-commands-bypass-yolo-mode-denylist\u002F50775)\n- (18.06.2025) [模型上下文协议的安全现实检验](https:\u002F\u002Fthenewstack.io\u002Fthe-model-context-protocol-security-reality-check\u002F)\n\n## 🧑‍🚀 工具与代码\n\n- [MCP Audit Extension - 轻松在 VSCode 中审计并记录所有 GitHub Copilot MCP 工具调用](https:\u002F\u002Fgithub.com\u002FAgentity-com\u002Fmcp-audit-extension)\n- [Secure MCP - 由 makalin 开发的用于检测 MCP 漏洞和配置错误的安全审计工具](https:\u002F\u002Fgithub.com\u002Fmakalin\u002FSecureMCP)\n- [mcp-context-protector - 由 trailofbits 提供的 MCP 服务器安全封装器](https:\u002F\u002Fgithub.com\u002Ftrailofbits\u002Fmcp-context-protector)\n- [腾讯朱雀实验室的 AI-Infra-Guard](https:\u002F\u002Fgithub.com\u002FTencent\u002FAI-Infra-Guard) - MCP 服务器安全分析工具 - 一款全面、智能、易用且轻量级的 AI 基础设施漏洞评估工具。\n- [MCP Guardian - 由 eqtylab 开发的用于管理 LLM 对 MCP 服务器访问权限的工具](https:\u002F\u002Fgithub.com\u002Feqtylab\u002Fmcp-guardian)\n- [MCP Tool Poisoning Experiments - 由 invariantlabs-ai 开发的 MCP 注入实验](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-injection-experiments)\n- [Google Security Operations and Threat Intelligence MCP 服务器 - 访问 Google 的安全产品和服务](https:\u002F\u002Fgithub.com\u002Fgoogle\u002Fmcp-security)\n- [MCP Watch - MCP 服务器漏洞扫描器](https:\u002F\u002Fgithub.com\u002Fkapilduraphe\u002Fmcp-watch)\n- [MCP 安全检查清单：SlowMist 编写的 AI 工具生态系统安全指南](https:\u002F\u002Fgithub.com\u002Fslowmist\u002FMCP-Security-Checklist)\n- [workers-mcp - 由 Cloudflare 提供的用于将 Cloudflare Workers 与您的 MCP 客户端连接的工具](https:\u002F\u002Fgithub.com\u002Fcloudflare\u002Fworkers-mcp)\n- [MCP Gateway - 由 lasso-security 开发的充当 LLM 与其他 MCP 服务器之间中介的网关](https:\u002F\u002Fgithub.com\u002Flasso-security\u002Fmcp-gateway)\n- [AWS Security MCP - 由 groovyBugify 提供的 AWS 安全工具访问接口](https:\u002F\u002Fgithub.com\u002FgroovyBugify\u002Faws-security-mcp)\n- [MCPAuth: 用于企业级安全 MCP 集成的网关认证 - 由 Oide Brett 开发](https:\u002F\u002Fgithub.com\u002Foidebrett\u002Fmcpauth)\n- [mcpserverscanner.com - 由 orgor 提供的 MCP 服务器扫描工具](https:\u002F\u002Fmcpserverscanner.com\u002F)\n- [mcpscan.ai](https:\u002F\u002Fmcpscan.ai\u002F)\n- [Damn Vulnerable MCP Server - 由 harishsg993010 开发的易受攻击的 MCP 服务器](https:\u002F\u002Fgithub.com\u002Fharishsg993010\u002Fdamn-vulnerable-MCP-server)\n- [ToolHive - 由 StacklokLabs 开发的使 MCP 服务器使用更简单、更安全的工具](https:\u002F\u002Fgithub.com\u002FStacklokLabs\u002Ftoolhive)\n- [MCP-Shield – 由 riseandignite 开发的用于检测 MCP 服务器安全问题的工具](https:\u002F\u002Fgithub.com\u002Friseandignite\u002Fmcp-shield)\n- [mcp-scan - 由 invariantlabs-ai 开发的 MCP 扫描工具](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-scan)\n- [MCP Ethical Hacking - 由 cmpxchg16 开发的道德黑客工具](https:\u002F\u002Fgithub.com\u002Fcmpxchg16\u002Fmcp-ethical-hacking)\n- [mcp-injection-experiments - 由 invariantlabs-ai 开发的 MCP 注入实验](https:\u002F\u002Fgithub.com\u002Finvariantlabs-ai\u002Fmcp-injection-experiments)\n- [MCP Defender - 阻止恶意 MCP 流量](https:\u002F\u002Fgithub.com\u002FMCP-Defender\u002FMCP-Defender)\n- [Octocode](https:\u002F\u002Fgithub.com\u002Fbgauryy\u002Foctocode-mcp) - 基于 AI 的开发者助手，可在整个 GitHub 生态系统中进行高级研究、分析和发现。支持跨仓库的智能安全模式搜索。\n- [Defenter](https:\u002F\u002Fdefenter.ai\u002F) - 实时语义监控 AI 编码代理与 MCP 服务器之间的通信，以防止数据泄露、上下文污染和恶意提示注入。\n- [MCP-Dandan](https:\u002F\u002Fgithub.com\u002F82ch\u002FMCP-Dandan) - 桌面安全工具，用于实时监控、威胁检测以及控制 MCP 工具的调用。\n\n## 💾 MCP 安全服务器\n- [Nuclei MCP 集成 - 由 addcontent 开发的 Nuclei 标准化 MCP 接口](https:\u002F\u002Fgithub.com\u002Faddcontent\u002Fnuclei-mcp) - Nuclei 是一款快速且可定制的漏洞扫描工具，可用于执行扫描和管理漏洞评估。\n- [Illumio MCP 服务器 - 由 alexgoller 开发的用于与 Illumio Policy Compute Engine 交互的服务器，以实现 Illumio 工作负载管理、标签操作和流量分析](https:\u002F\u002Fgithub.com\u002Falexgoller\u002Fillumio-mcp-server)\n- [TriageMCP - 由 eversinc33 开发的用于对可移植可执行文件 (PE) 进行基本静态分类的 MCP 服务器](https:\u002F\u002Fgithub.com\u002Feversinc33\u002FTriageMCP)\n- [RunReveal MCP 服务器](https:\u002F\u002Fdocs.runreveal.com\u002Freference\u002Fmodel-context-protocol) - RunReveal 用于大规模查询安全日志的 MCP 服务器。\n- [Semgrep MCP 服务器](https:\u002F\u002Fgithub.com\u002Fsemgrep\u002Fmcp) - 用于使用 Semgrep 扫描代码中漏洞的 MCP 服务器。\n- [GhidraMCP - 由 LaurieWired 开发的 Ghidra 自动逆向工程 MCP 服务器](https:\u002F\u002Fgithub.com\u002FLaurieWired\u002FGhidraMCP) - Ghidra 是一个软件逆向工程平台。\n- [IDA-Pro-MCP - 由 mrexodia 开发的 IDA Pro 逆向工程 MCP 服务器](https:\u002F\u002Fgithub.com\u002Fmrexodia\u002Fida-pro-mcp) - IDA Pro 是一种用于分析软件和二进制文件的工具。\n- [binaryninja-mcp - 由 MCPPhalanx 开发的 Binary Ninja MCP 服务器](https:\u002F\u002Fgithub.com\u002FMCPPhalanx\u002Fbinaryninja-mcp) - Binary Ninja 是一种二进制分析工具。\n- [Burp Suite MCP - 由 PortSwigger 开发的 Burp Suite 网络安全测试 MCP 集成](https:\u002F\u002Fgithub.com\u002FPortSwigger\u002Fmcp-server) - Burp Suite 是一款用于 Web 应用程序安全测试的工具。\n- [BloodHound-MCP-AI - 由 MorDavid 开发的 BloodHound MCP 服务器集成](https:\u002F\u002Fgithub.com\u002FMorDavid\u002FBloodHound-MCP-AI) - BloodHound 是一款用于分析 Active Directory 域的工具。\n- [RoadRecon MCP - 由 atomicchonk 开发的用于使用 ROADRecon 分析 Azure AD 数据的 MCP 服务器](https:\u002F\u002Fgithub.com\u002Fatomicchonk\u002Froadrecon_mcp_server) - ROADRecon 是一款用于绘制 Azure Active Directory 环境地图的工具。\n- [Jadx MCP 插件 - 由 mobilehackinglab 开发的通过 HTTP 访问 MCP 服务器的 Jadx 插件，用于反编译 Android 应用程序](https:\u002F\u002Fgithub.com\u002Fmobilehackinglab\u002Fjadx-mcp-plugin)\n- [VirusTotal MCP 服务器 - 由 BurtTheCoder 开发的用于查询 VirusTotal API 的 MCP 服务器](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-virustotal) - VirusTotal 是一项用于分析文件和 URL 是否含有病毒的服务。\n- [Shodan MCP 服务器 - 由 BurtTheCoder 开发的用于查询 Shodan API 的 MCP 服务器](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-shodan) - Shodan API 提供有关联网设备的数据。\n- [DNStwist MCP 服务器 - 由 BurtTheCoder 开发的用于使用 dnstwist 进行 DNS 模糊测试的 MCP 服务器](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-dnstwist) - dnstwist 是一款用于检测网络钓鱼和域名接管威胁的工具。\n- [Maigret MCP 服务器 - 由 BurtTheCoder 开发的用于使用 Maigret 收集 OSINT 数据的 MCP 服务器](https:\u002F\u002Fgithub.com\u002FBurtTheCoder\u002Fmcp-maigret) - Maigret 是一款从各种来源收集用户信息的工具。\n- [pomerium\u002Fpomerium](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fpomerium) - 具有原生零信任访问支持的身份感知代理，现已加入 MCP 支持。\n  - 示例实现：\n    - [pomerium\u002Fmcp-app-demo](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fmcp-app-demo)\n    - [pomerium\u002Fmcp-servers](https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fmcp-servers)\n- [urldna\u002Fmcp](https:\u002F\u002Fgithub.com\u002Furldna\u002Fmcp) - urlDNA 的 MCP 服务器，可通过高级上下文扫描检测网络钓鱼并分析 URL。\n\n## 💻 其他实用资源\n\n- [Awesome Cybersecurity Agentic AI](https:\u002F\u002Fgithub.com\u002Fraphabot\u002Fawesome-cybersecurity-agentic-ai) - 关于使用AI智能体应对安全场景的资源合集\n- (31.03.2025) [我给了Claude我的服务器root权限……Fireship详解模型上下文协议](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=HyzlYwjoXOQ)\n- (17.03.2025) [模型上下文协议（MCP）：杰克·赫林顿解读Agentic AI的关键](https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=VChRPFUzJGA)\n- [MCP官方规范](https:\u002F\u002Fmodelcontextprotocol.io\u002Fspecification\u002F2025-03-26\u002Fserver\u002Ftools)\n- [模型上下文协议——MCP官方网站](https:\u002F\u002Fmodelcontextprotocol.io\u002F) \n\n \n# 😎 贡献说明\n👍🎉 首先，感谢您抽出时间参与贡献！ 🎉👍\n\n[请阅读并遵循我们的贡献指南](https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fblob\u002Fmain\u002FCONTRIBUTING.md)\n\n谢谢！ 🦄\n\n\n# 🤝 表达支持\n\n\u003Cdiv>🤝 请表达您的支持——如果您喜欢这些内容，请点个⭐️\u003C\u002Fdiv>\n\n# ✔️ 免责声明\n本项目仅可用于教育目的。在未获得事先许可的情况下，将本资源用于针对目标系统的攻击行为属违法行为；因滥用本软件造成的任何损害，作者概不负责。","# Awesome MCP Security 快速上手指南\n\n`awesome-mcp-security` 并非一个可执行的软件工具或库，而是一个** curated 资源列表（Awesome List）**，旨在汇集关于模型上下文协议（Model Context Protocol, MCP）安全性的论文、视频、文章、代码工具及最佳实践。\n\n本指南将指导开发者如何利用该资源库快速构建安全的 MCP 应用环境，并理解核心安全规范。\n\n## 环境准备\n\n由于本项目是资源索引，无需特定的运行时环境，但为了实践其中的安全工具和代码示例，建议准备以下基础环境：\n\n*   **操作系统**: Linux, macOS 或 Windows (WSL2 推荐)\n*   **核心依赖**:\n    *   [Node.js](https:\u002F\u002Fnodejs.org\u002F) (v18+) 或 [Python](https:\u002F\u002Fwww.python.org\u002F) (v3.10+)：用于运行大多数 MCP Server 和 Client 示例。\n    *   [Git](https:\u002F\u002Fgit-scm.com\u002F)：用于克隆本仓库及相关的安全工具代码。\n*   **前置知识**:\n    *   了解 MCP 基本架构（Client-Server 模型）。\n    *   熟悉 LLM Agent 开发流程。\n\n> **国内加速建议**：\n> *   克隆仓库时如遇网络问题，可使用国内镜像源（如 Gitee 镜像）或配置 Git 代理。\n> *   访问 arXiv 论文或 YouTube 视频可能需要学术网络环境或国内替代平台（如 Bilibili 搜索相关标题）。\n\n## 安装步骤\n\n你不需要“安装”此列表，而是需要将其作为参考库引入你的工作流，并从中选取具体的安全工具进行部署。\n\n### 1. 获取资源列表\n克隆仓库到本地以便随时查阅最新的安全动态和工具链接：\n\n```bash\ngit clone https:\u002F\u002Fgithub.com\u002Fmodelcontextprotocol\u002Fawesome-mcp-security.git\ncd awesome-mcp-security\n```\n\n### 2. 部署示例安全工具 (以通用 MCP 网关为例)\n列表中 `Tools and code` 章节包含了多种安全实现。以下是基于 Node.js 环境安装一个典型的安全验证层（示例逻辑，具体请参照列表中对应工具的 README）：\n\n```bash\n# 初始化项目\nnpm init -y\n\n# 安装官方 MCP SDK 及常见的安全中间件依赖\nnpm install @modelcontextprotocol\u002Fsdk zod\n\n# 若列表中有推荐的具体安全网关工具（如 mcp-guardian 等），使用以下命令安装\n# npm install \u003Cspecific-security-tool-name-from-list>\n```\n\n### 3. 配置安全规范\n根据列表中 `Security Considerations` 章节的官方规范，在你的 MCP Server 代码中强制执行以下策略（伪代码示例）：\n\n*   **输入验证**: 所有 Tool 输入必须经过 Schema 校验。\n*   **权限控制**: 实施基于角色的访问控制 (RBAC)。\n*   **速率限制**: 防止滥用。\n\n## 基本使用\n\n本项目的核心用法是**对照检查**与**集成实践**。\n\n### 1. 遵循核心安全原则 (Checklist)\n在开发任何 MCP Server 或 Client 时，必须严格遵循列表中定义的强制性规则：\n\n*   **Server 端必须 (MUST)**:\n    *   验证所有工具输入 (`Validate all tool inputs`)。\n    *   实施适当的访问控制 (`Implement proper access controls`)。\n    *   对工具调用进行速率限制 (`Rate limit tool invocations`)。\n    *   清理工具输出 (`Sanitize tool outputs`)，防止注入攻击。\n*   **Client 端应该 (SHOULD)**:\n    *   敏感操作前请求用户确认 (`Prompt for user confirmation`)。\n    *   在调用服务器前向用户展示工具输入，防止数据泄露。\n    *   在将结果传递给 LLM 之前验证工具返回结果。\n    *   **人机回环 (Human-in-the-Loop)**: 始终保留用户否决工具调用的能力。\n\n### 2. 利用资源进行威胁建模\n参考 `Papers` 和 `Articles` 章节中的最新研究（如 *Systematic Analysis of MCP Security*），针对你的应用场景进行威胁建模：\n*   检查是否存在 **Tool Poisoning** (工具投毒) 风险。\n*   评估 **Data Exfiltration** (数据窃取) 的可能性。\n*   审查认证机制（注意：当前的 Auth 规范正在演进中，需关注最新的 RFC #284）。\n\n### 3. 集成安全服务器\n从 `MCP Security Servers` 章节选择合适的安全代理服务器部署在你的 AI Agent 和业务系统之间。例如，使用专门的审计服务器记录所有工具调用日志：\n\n```bash\n# 示例：启动一个带有审计功能的安全 MCP 服务器\nnpx mcp-audit-server --config .\u002Fsecurity-config.json\n```\n\n### 4. 持续监控\n定期查看本仓库的更新，特别是 `Articles` 部分披露的最新漏洞（如针对 Cursor, Slack, GitHub 等特定 MCP 实现的攻击案例），及时修补你的系统。\n\n> **警告**: 除非来自受信任的服务器，否则客户端**必须**视所有工具注解（Annotations）为不可信。切勿盲目执行未经过人类确认的敏感操作。","某金融科技公司正在开发一款基于 MCP 协议的智能投顾助手，该助手需要连接内部数据库查询客户资产并调用外部 API 执行交易指令。\n\n### 没有 awesome-mcp-security 时\n- 开发团队缺乏统一的安全标准，导致部分 MCP 服务器未对工具输入进行严格验证，存在注入攻击风险。\n- 客户端在调用敏感交易工具前缺少强制的用户确认环节，AI 可能因提示词注入而意外执行未经授权的资金转账。\n- 由于缺乏审计日志和速率限制机制，恶意用户可高频调用工具耗尽系统资源，且事后无法追溯异常操作源头。\n- 团队难以辨别哪些第三方工具注解是可信的，容易将不可信服务器的输出直接传递给大模型，引发数据泄露。\n- 面对新兴的 MCP 攻击向量，开发人员只能零散地搜索信息，缺乏系统性的防御框架和最新威胁情报支持。\n\n### 使用 awesome-mcp-security 后\n- 团队依据其提供的官方安全考量清单，强制所有服务器实施输入验证、访问控制和输出清洗，从源头阻断注入漏洞。\n- 参照最佳实践重构客户端逻辑，在执行任何敏感操作前插入可视化确认弹窗，确保“人在回路”（Human-in-the-Loop）机制落地。\n- 部署了推荐的审计日志方案和超时策略，不仅有效防御了拒绝服务攻击，还能完整记录每次工具调用的上下文以供合规审查。\n- 利用其整理的可信服务器列表和注解验证指南，系统现在能自动拦截来自未认证源的工具响应，防止数据被恶意篡改或窃取。\n- 通过集成的论文、视频和代码库资源，安全团队迅速掌握了最新的 MCP 威胁态势，并快速落地了针对性的缓解策略。\n\nawesome-mcp-security 将分散的安全知识转化为可执行的防御体系，让 AI 代理在享受 MCP 强大连接能力的同时，拥有了企业级的安全护城河。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FPuliczek_awesome-mcp-security_a776a552.png","Puliczek","Maciej Pulikowski","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002FPuliczek_4edb5e32.jpg","🧙 Software Engineer | \r\n👾 Security Researcher | \r\n🏆 8 x Google Hall of Fame",null,"Poland","pulik_io","https:\u002F\u002Fpulik.dev\u002F","https:\u002F\u002Fgithub.com\u002FPuliczek",675,97,"2026-04-06T08:43:06",1,"","未说明",{"notes":91,"python":89,"dependencies":92},"该仓库（awesome-mcp-security）是一个资源列表（Awesome List），主要收集关于模型上下文协议（MCP）安全性的论文、视频、文章和工具链接，本身不是一个可执行的软件工具或模型，因此没有特定的操作系统、GPU、内存、Python 版本或依赖库要求。",[],[13],[95,96,97,98,99,100,101,102,103,104,105,106,107,108],"awesome-list","mcp","mcp-client","mcp-server","mcp-servers","security","bugbounty","bugbountytips","cybers","exploit","pentesting","poc","writeups","security-writeups","2026-03-27T02:49:30.150509","2026-04-08T01:09:55.617191",[112,117,122,127,132,137,142,147,152],{"id":113,"question_zh":114,"answer_zh":115,"source_url":116},23235,"Supabase MCP 是否有相关的安全讨论或线程？","是的，Simon Willison 在 X (Twitter) 上发布了一个关于 Supabase MCP 安全的讨论线程，值得记录参考：https:\u002F\u002Fx.com\u002Fsimonw\u002Fstatus\u002F1941674715720057258。维护者已感谢分享并将其添加。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F25",{"id":118,"question_zh":119,"answer_zh":120,"source_url":121},23227,"有哪些关于 MCP（模型上下文协议）企业级安全框架和缓解策略的研究论文？","可以参考题为《Enterprise-Grade Security for the Model Context Protocol (MCP): Frameworks and Mitigation Strategies》的论文，该论文详细讨论了 MCP 的安全框架和缓解策略。论文地址：https:\u002F\u002Farxiv.org\u002Fpdf\u002F2504.08623。该项目已将其收录到论文部分。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F8",{"id":123,"question_zh":124,"answer_zh":125,"source_url":126},23228,"是否存在针对远程 MCP 服务器的关键漏洞？","是的，存在名为 'remote-mcp vulnerability' 的关键漏洞。相关报道和详细信息可参考 The Hacker News 的文章：https:\u002F\u002Fthehackernews.com\u002F2025\u002F07\u002Fcritical-mcp-remote-vulnerability.html。维护者已确认并将此资源添加到了列表中。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F26",{"id":128,"question_zh":129,"answer_zh":130,"source_url":131},23229,"Anthropic Slack MCP 服务器是否有过数据泄露的安全事件？","是的，发生过一起涉及 Anthropic Slack MCP 服务器的数据泄露事件。完整的技术分析和报告可以在 Embrace The Red 博客中找到：https:\u002F\u002Fembracethered.com\u002Fblog\u002Fposts\u002F2025\u002Fsecurity-advisory-anthropic-slack-mcp-server-data-leakage\u002F。该案例已被收录作为安全参考。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F23",{"id":133,"question_zh":134,"answer_zh":135,"source_url":136},23230,"Neon MCP 服务器是否遭遇过泄露或攻击？","是的，Neon 官方远程 MCP 曾遭到利用和攻击。Tramlines 博客提供了详细的案例分析以及如何使用 Tramlines 进行防护的指南：https:\u002F\u002Fwww.tramlines.io\u002Fblog\u002Fneon-official-remote-mcp-exploited-and-guardrailed-with-tramlines。维护者认为这是一篇非常好的文章并已收录。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F22",{"id":138,"question_zh":139,"answer_zh":140,"source_url":141},23231,"如何在 MCP 服务器部署中实施零信任（Zero Trust）安全架构？","可以使用 Pomerium 作为身份感知代理，它原生支持零信任访问并包含 MCP 支持。相关资源包括：\n1. 视频演讲：'Agentic Access: OAuth Isn't Enough | Zero Trust for AI Agents' (YouTube: https:\u002F\u002Fwww.youtube.com\u002Fwatch?v=KY1kCZkqUh0)。\n2. 开源项目：pomerium\u002Fpomerium (https:\u002F\u002Fgithub.com\u002Fpomerium\u002Fpomerium)。\n3. 示例实现：pomerium\u002Fmcp-app-demo 和 pomerium\u002Fmcp-servers。\n这些资源有助于探索安全的 MCP 服务器部署方案。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F13",{"id":143,"question_zh":144,"answer_zh":145,"source_url":146},23232,"MCP 服务器输出是否存在被投毒（Poisoning）的风险？","是的，存在一种称为 'Poison Everywhere' 的攻击，表明 MCP 服务器的输出可能不安全。CyberArk 威胁研究博客对此进行了详细分析：https:\u002F\u002Fwww.cyberark.com\u002Fresources\u002Fthreat-research-blog\u002Fpoison-everywhere-no-output-from-your-mcp-server-is-safe。该资源已被添加到列表中以提高警惕。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F12",{"id":148,"question_zh":149,"answer_zh":150,"source_url":151},23233,"有没有关于开源 MCP 安全网关的研究或概念验证？","有一篇关于开源 MCP 安全网关的研究论文：https:\u002F\u002Farxiv.org\u002Fabs\u002F2504.19997。此外，还有一个相关的概念验证项目和网站说明：https:\u002F\u002Fselfhostedmcp.com\u002F。维护者已将论文和代码库添加到列表中。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F7",{"id":153,"question_zh":154,"answer_zh":155,"source_url":156},23234,"有哪些工具可以用于评估 MCP 服务器的安全性？","腾讯朱雀实验室开发了一款名为 'AI-Infra-Guard' 的工具，它是一个全面、智能、易用且轻量级的 AI 基础设施漏洞评估和 MCP 服务器安全分析工具。项目地址：https:\u002F\u002Fgithub.com\u002FTencent\u002FAI-Infra-Guard。该工具已被收录。","https:\u002F\u002Fgithub.com\u002FPuliczek\u002Fawesome-mcp-security\u002Fissues\u002F6",[]]