mcp-security-audit 是一款 MCP 服务器，专为提升 AI 模型在软件开发中的安全性而设计。它通过实时审计 npm 包依赖项中的安全漏洞，为开发者提供强大的安全保障。该工具集成了远程 npm 注册表，能够进行实时的安全检查，并生成包含严重程度级别的详细漏洞报告，支持多种严重程度级别，兼容 npm/pnpm/yarn 包管理器，并提供自动修复建议、CVSS 评分和 CVE 参考。

通过与 AI 模型的无缝集成，mcp-security-audit 能够帮助开发者在早期发现并修复潜在的安全风险，从而避免在后期引入安全漏洞。它不仅简化了安全审计流程，还提供了结构化的漏洞信息，包括修复建议和详细的漏洞描述。使用 mcp-security-audit，开发者可以显著提高其项目的安全性，并确保其软件供应链的完整性。该工具可以通过 Smithery 轻松安装，或者手动配置，利用远程 npm 注册表进行实时安全检查。

实时安全漏洞扫描

mcp-security-audit 的核心功能是能够实时扫描项目依赖的 npm 包，检测其中存在的安全漏洞。它通过与远程 npm 注册表集成，获取最新的漏洞信息，确保扫描结果的准确性和时效性。该工具不仅能识别已知的安全漏洞，还能根据漏洞的严重程度进行分类，例如 critical, high, moderate, low，帮助开发者优先处理高危漏洞。扫描过程快速高效，不会显著影响开发流程。

例如，开发者在 CI/CD 流程中集成 mcp-security-audit，可以在每次代码提交时自动进行安全扫描，及时发现并修复潜在的安全风险。这对于构建安全可靠的软件至关重要，尤其是在涉及用户数据和敏感信息的项目中。技术实现上，该工具利用 npm 官方提供的 audit API，并对其返回结果进行结构化处理，使其更易于理解和使用。

详细漏洞报告生成

该工具能够生成详细的漏洞报告，为开发者提供全面的安全信息。报告中不仅包含漏洞的名称、描述和严重程度，还提供 CVSS 评分、CVE 参考链接以及修复建议。对于能够自动修复的漏洞，报告还会给出升级到安全版本的建议，方便开发者快速修复漏洞。报告的结构化设计使得开发者能够清晰地了解每个漏洞的详细信息，并采取相应的措施。

例如，当扫描发现 lodash 包存在原型污染漏洞时，报告会详细说明漏洞的描述、受影响的版本、CVSS 评分以及升级到 4.17.19 或更高版本的修复建议。此外，报告还会提供 CVE 编号和 GitHub Advisory ID，方便开发者进一步了解漏洞的背景信息。技术实现上，报告以 JSON 格式输出，方便与其他工具和系统集成，实现自动化安全管理。

多包管理器兼容性

mcp-security-audit 具备良好的兼容性，支持 npm、pnpm 和 yarn 等多种流行的 JavaScript 包管理器。这意味着开发者无需更改现有的开发流程和工具链，即可轻松集成该工具进行安全审计。无论项目使用哪种包管理器，mcp-security-audit 都能准确地扫描依赖关系，并提供相应的安全建议。

例如，一个团队同时使用 npm 和 yarn 管理不同的项目，他们可以使用同一个 mcp-security-audit 实例来扫描所有项目的依赖关系，而无需为每种包管理器配置不同的安全工具。这种兼容性大大简化了安全管理的复杂性，提高了开发效率。技术实现上，该工具通过解析不同包管理器的 lock 文件来获取依赖关系，并使用统一的 API 进行漏洞扫描。