agent-bom registry 是一个专为 MCP(Model Context Protocol)生态设计的开源安全工具,旨在帮助开发者快速评估第三方 MCP 服务器的可信度与安全性。该工具通过内置的 427+ 个 MCP 服务器的安全元数据注册表,提供实时的服务器信息查询、风险评分和合规性检查,显著降低在集成外部服务时可能遇到的安全隐患。其核心设计原则是零网络调用、零遥测数据收集,所有分析均在本地完成,确保用户隐私与数据安全。
作为一个轻量级命令行工具,agent-bom 支持多种自动化工作流,包括单个服务器的注册表查询、批量风险评估、技能文件信任级别分析以及基于 Semgrep 的静态应用安全测试(SAST)扫描。它特别适合在开发环境中集成新 MCP 服务前进行预安装检查,帮助团队避免引入有已知漏洞或行为可疑的组件。项目代码托管于 GitHub,采用 Apache-2.0 许可证发布,并通过了严格的代码质量与安全审计标准,包括超过 6,000 项自动化测试和 OpenSSF Scorecard 认证。
该工具不仅面向独立开发者,也适用于需要集中管理多个 MCP 服务的 DevOps 团队。通过将安全验证流程嵌入到 CI/CD 流水线中,agent-bom 可实现对 MCP 依赖库的持续监控与合规保障,提升整体系统的健壮性与可维护性。
核心功能特点
- 内置 427+ 个 MCP 服务器的安全元数据注册表,支持快速查询与交叉验证
- 提供预安装信任检查功能,自动比对注册表信息与本地包来源
- 支持批量服务器风险评分(fleet_scan),适用于多服务环境的安全审计
- 技能文件信任分析(skill_trust),按五类等级评估 SKILL.md 内容的可信度
- 集成 SAST 扫描引擎,使用 Semgrep 实现 CWE 标准漏洞检测与合规映射
适用场景
agent-bom registry 最适用于需要在项目中引入第三方 MCP 服务前的安全评估阶段。例如,当开发者从 Model Context Protocol 官方市场发现一个名为 ‘brave-search’ 的新服务器并打算集成时,可通过 agent-bom 执行 registry_lookup 命令,立即获取该服务器的历史漏洞记录、维护状态和社区声誉等关键信息,从而决定是否继续集成。这种前置检查能有效防止因使用不可靠或存在已知风险的服务器而导致系统暴露攻击面。
对于企业级用户或 DevOps 团队而言,agent-bom 的 fleet_scan 功能尤为实用。假设某公司内部已部署数十个 MCP 服务,管理员可在更新或扩展服务列表前,运行批量扫描对所有服务器进行统一的风险打分,识别出高风险项并优先处理。结合 CI/CD 流程,每次部署前自动触发 marketplace_check,确保所有新增依赖均符合组织的安全策略。此外,在开源贡献场景中,维护者也可利用 skill_trust 工具审核他人提交的 SKILL.md 文件内容,判断其描述的真实性与技术准确性,维护生态健康度。
由于 agent-bom 完全离线运行且无网络请求,它也适合在严格隔离的内网环境中使用,如金融、医疗等对数据外泄高度敏感的行业。无论是个人开发者还是大型组织,都能借助此工具构建更安全的 MCP 服务集成实践,将主动防御机制融入日常开发流程之中。