io.github.sunhome243/figma-mcp-express

通过本地插件桥接高效连接 Figma，让 AI 免配额读取与操作设计内容。

来源

官方 Registry

更新于

2026-06-16

// 安全评估需留意

本机运行进程
官方 / 精选来源
开源可审计
社区验证

总评

该 MCP 工具从材料看不需要密钥、未声明远程外发端点，且来自官方 Registry 并开源，整体未见明确高风险红旗。主要风险点在于其作为本地 MCP 工具需要执行本机进程，且文档较少、权限与数据范围说明不足，建议在受限环境中使用。

凭证密钥低风险

材料明确标注“需要的密钥/环境变量：无”，未见要求 API key、OAuth token 或其他敏感凭证；从已知信息看，凭证泄露面较小。

网络外发低风险

材料标注“远程端点 host：无”，描述中强调通过“local plugin bridge”工作，未见将数据发送到第三方远程服务的证据。是否存在实际联网行为仍需以源码与运行时抓包复核，但仅凭现有材料未发现明确外发红旗。

代码执行需留意

系统检查项已明确该工具具备 executes-code，说明其作为 MCP 工具会在本机启动进程/执行代码。这属于此类工具的常规能力，本身不足以定为高风险，但应意识到其拥有本地执行面。

数据访问需留意

描述显示其通过本地 Figma 插件桥接工作，通常意味着会接触用户在该桥接流程中的设计数据；但 README 缺失，未清晰说明可读写哪些本地文件、缓存或 Figma 资源范围。当前未见“超出声明功能的过度授权”证据，但数据边界透明度不足。

来源供应链需留意

正面因素是：来自官方 Registry、开源、近一年内有更新，这些都明显降低了供应链风险。需留意的是仓库未声明许可证、社区采用度很低（0 star），且文档缺失，导致可审计性与成熟度判断有限，因此更适合评为需留意而非高风险。

安全建议

先审阅 GitHub 源码与依赖清单，重点确认是否仅进行本地桥接、是否存在未声明联网行为。
在隔离或最小权限环境中运行，限制其对不相关目录和敏感文件的访问。
使用网络监控或防火墙验证运行时是否真的无远程外联。
在处理敏感设计稿前，先用非敏感样本测试其实际读取/写入范围。

审计模型: gpt-5.4 · 2026-06-16

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "io.github.sunhome243/figma-mcp-express" MCP 服务：
执行：claude mcp add io-github-sunhome243-figma-mcp-express -- npx -y figma-mcp-express

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

前往源码仓库 ↗

// 功能相似

MCP 工具

figma-opencode-mcp

将本地打开的 Figma 文件连接给 AI 编码代理，无需 API Token 进行读取与协作。

—装→

MCP 工具

figma-unified-mcp

连接 Figma 设计稿，支持读取编辑、生成多框架代码与无障碍检查。

—装→

io.github.sunhome243/figma-mcp-express

// 文档

// 功能相似

figma-opencode-mcp

figma-unified-mcp

io.github.rudraptpsingh/figbridge

Talk to Figma MCP

io.github.tathagat22/plumb-mcp

figma-docs-mcp