mcp-security-inspector

mcp-security-inspector ispeziona il traffico del protocollo MCP e segnala i rischi

mcp-security-inspector, sviluppato da Purpleroc, è un'estensione di Chrome che controlla le integrazioni del Model Context Protocol (MCP) e mette in evidenza i problemi di sicurezza a livello di protocollo. L'app ispeziona i flussi JSON-RPC e combina un debugger di protocollo in-browser con un motore di sicurezza assistito da AI per produrre casi di test e rapporti analitici. Supporta la scansione attiva e il monitoraggio passivo, lo scambio di configurazione mcp.json e i trasporti SSE o HTTP Streamable. Gli sviluppatori AI, i ricercatori di sicurezza e gli auditor ottengono uno strato centrato sul browser per l'audit del protocollo.

Quali compiti puoi effettivamente utilizzare?

Lo strumento è progettato per esporre e esercitare le interazioni MCP in modo che i team possano osservare il traffico di protocollo dal vivo, invocare strumenti remoti e riprodurre chiamate per analisi. Il suo esploratore di protocolli consente agli utenti di leggere risorse e recuperare prompt dai trasporti in streaming, mentre il framework di rilevamento genera input di attacco candidati per la revisione. Per il debug e i controlli pre-distribuzione, l'app aiuta a mappare quali chiamate agli strumenti e flussi di prompt potrebbero alterare il comportamento dell'agente.

Quanto sono praticabili le sue scoperte di sicurezza?

L'app utilizza modelli di linguaggio di grandi dimensioni per creare casi di test di sicurezza e classificare il rischio, quindi emette report strutturati che includono livelli di gravità e suggerimenti per la rimediazione. Poiché quei casi di test sono generati dal modello, i team dovrebbero considerarli come indizi investigativi piuttosto che come prove definitive. In scenari ad alto rischio, i casi generati accelerano la scoperta ma richiedono verifica umana prima di prendere decisioni di enforcement o mitigazione.

Quali input accetta e come si inserisce nei flussi di lavoro degli sviluppatori?

L'estensione si connette a endpoint MCP remoti tramite trasporti in streaming e funziona con file di configurazione esistenti utilizzati negli strumenti di sviluppo comuni, consentendo l'importazione e l'esportazione di file mcp.json per allinearsi con progetti locali. Questo design consente ai revisori della sicurezza di eseguire scansioni contro gli stessi manifesti di runtime utilizzati dagli sviluppatori, quindi lo strumento si inserisce nei flussi di lavoro di debug e CI preesistenti senza dover riscrivere i descrittori di integrazione.

Quali limiti di privacy e operativi dovrebbero considerare i team?

Come ponte lato browser verso server MCP remoti, l'app instrada il traffico di protocollo attraverso l'estensione per l'ispezione e può inoltrare elementi a host di modelli esterni per l'analisi. I team devono tenere conto di quel flusso di dati quando gestiscono prompt o risorse sensibili. L'estensione funziona solo in Chrome, quindi il lavoro di audit e monitoraggio su altri ambienti desktop richiede strumenti alternativi o un flusso di lavoro basato su Chrome.

Uno strato di audit pratico per gli integratori MCP con attenzione alla revisione umana

mcp-security-inspector è un'opzione pratica per i team di sviluppo e sicurezza che necessitano di audit a livello di protocollo per le integrazioni MCP. Le sue scoperte assistite dall'IA accelerano la scoperta delle minacce ma dovrebbero fungere da punti di partenza per la validazione manuale, specialmente su input ad alto rischio. Utilizza l'app insieme alla revisione manuale del codice e ai test operativi per convertire i lead generati in mitigazioni verificate e controlli di distribuzione più robusti.