$ loading_
查询 OSV 漏洞数据库并批量审计依赖清单,快速发现软件包安全风险
该 MCP 工具整体风险偏低:来源在官方 Registry、开源且近期有维护,所需环境变量也不像敏感凭证。需重点留意的是其声明查询 OSV.dev,但实际远程端点为自定义域名,建议在部署前核验数据是否经该中间服务转发。
材料中仅要求 OSV_REQUEST_TIMEOUT_MS 与 MCP_LOG_LEVEL,这两项属于超时与日志级别配置,未见 API key、token 或其他高敏感凭证要求;凭证滥用面较小。
工具声明用于查询 OSV.dev,但实际远程端点为 osv-advisory.caseyjhand.com,说明请求可能先发往第三方中间服务。若用户提交依赖清单或包名,这些内容可能被外发到该域名;建议核验其与声明功能的一致性及隐私处理方式。
作为 MCP 工具,系统已标注其会执行代码/起本地进程;这是此类工具的常规能力。材料未显示其申请额外高危系统权限,也未见超出漏洞查询用途的执行面描述。
描述仅显示其查询漏洞信息并批量审计依赖列表,未见声明可读取任意本地文件、写入磁盘或访问无关系统资源。基于现有材料,数据访问范围未显示过度授权迹象。
正面因素包括官方 Registry 上架、开源、近一年内有更新,源码原则上可审计;但 README 缺失、许可证未声明、社区采用度很低(0 star),可审计性与成熟度仍需人工复核。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.cyanheads/osv-advisory-mcp-server" MCP 服务: 执行:claude mcp add io-github-cyanheads-osv-advisory-mcp-server -- bun -y @cyanheads/osv-advisory-mcp-server
请查询 npm 包 axios 当前版本及 1.6.0 版本在 OSV.dev 中是否存在已知漏洞,并列出漏洞编号、影响范围、严重程度和修复建议。
返回该软件包的漏洞列表或无漏洞结果,并附带受影响版本范围与修复建议。
请批量审计以下 Python 依赖是否存在 OSV 已知漏洞:django==3.2.5,requests==2.19.1,urllib3==1.25.2,pillow==8.2.0。请按包名汇总风险,并标出高危项。
输出按依赖分组的审计结果,包含漏洞命中情况、风险等级与优先处理建议。
基于这份依赖漏洞审计结果,帮我整理一份修复优先级报告:先处理可远程利用且有公开修复版本的漏洞,再处理中危问题。请给出行动清单。
输出一份可执行的修复优先级清单,帮助团队安排漏洞处理顺序。
将 OSSEC 安全监控能力接入 AI,辅助查询告警、主机状态与安全事件。