MCP Server

一个基于ScanMalware.com公开API的Python MCP服务器，提供恶意软件扫描、网络钓鱼检测、TLS证书检查等功能，支持本地运行、Docker部署和DigitalOcean云服务器部署。

安全研究与数据 #恶意软件扫描 #网络安全 #MCP服务 #API封装 .Python

评分 : 2分

下载量 : 5.4K

更新时间 : 2026-03-13

打开站点

什么是 ScanMalware MCP 服务器？

ScanMalware MCP 服务器是一个桥梁，它将专业的恶意软件和网络钓鱼网站扫描服务（ScanMalware.com）的能力，通过 Model Context Protocol (MCP) 标准暴露给 AI 助手。这意味着您可以在与 Claude 等 AI 对话时，直接请求它去分析一个可疑的链接，而无需离开聊天界面。服务器会处理与后端扫描 API 的所有复杂通信，并将结构化的结果返回给 AI，AI 再以易于理解的方式总结给您。

如何使用 ScanMalware MCP 服务器？

使用它需要两个部分：1) 运行中的 ScanMalware MCP 服务器（您可以在自己的电脑上本地运行，或连接到我们部署好的公共实例）。2) 一个支持 MCP 协议的 AI 客户端（如 Claude Desktop），并将其配置为连接到该服务器。配置完成后，您就可以在对话中自然地提出分析请求，例如：“请帮我检查一下 `https://suspicious-login.com` 这个链接是否安全。” AI 会调用服务器提供的工具来完成扫描并给您报告。

适用场景

该服务非常适合需要快速初步判断网站安全性的场景，例如： - **邮件安全分析**：收到可疑邮件中的链接时，立即让 AI 助手进行扫描。 - **品牌保护监控**：定期搜索是否有仿冒公司官网或登录页面的钓鱼网站。 - **安全运营辅助**：为安全分析师提供一个快速查询扫描历史和详情的工具。 - **个人安全防护**：在点击不熟悉的链接前，先进行安全检查。

主要功能

提交网址扫描

向 ScanMalware.com 提交一个 URL 进行深度安全扫描。您可以指定扫描的深度（快速/深度），并选择是否等待扫描完成后再返回结果。

获取扫描结果与状态

通过扫描 ID 查询特定扫描任务的详细结果，包括风险评分、威胁分类、检测到的指标（如可疑JavaScript、恶意重定向）以及扫描状态（排队中、进行中、完成）。

搜索历史扫描记录

使用多种过滤条件（如关键词、风险等级、时间范围、状态）在历史扫描数据库中搜索，便于进行威胁狩猎和趋势分析。

下载扫描资源

获取扫描过程中产生的丰富资源文件，例如： - **网站截图**：扫描时的页面视觉快照。 - **TLS证书**：网站的SSL/TLS证书详情（PEM格式）。 - **页面文本**：提取的网页正文文本内容。 - **技术元数据**：IP地址、服务器头信息、DNS记录等。

TLS/SSL 证书检查

专门获取和分析网站使用的 TLS/SSL 证书详细信息，包括颁发者、有效期、主题备用名称（SAN），帮助识别证书欺诈或配置错误。

灵活的部署方式

支持多种运行方式以满足不同需求： - **本地运行**：使用 Python 虚拟环境快速测试。 - **Docker 容器化**：便于在服务器环境部署和隔离。 - **云端部署**：提供完整的脚本，可一键部署到 DigitalOcean 等云平台。

优势

**无缝AI集成**：让AI助手直接获得专业安全扫描能力，提升工作效率。

**功能全面**：覆盖从提交扫描、查询结果到下载证据的完整工作流。

**易于部署**：提供详细的本地和云端部署指南，支持Docker，降低运维门槛。

**标准化协议**：基于MCP协议，兼容任何支持该协议的客户端，未来扩展性好。

**安全可控**：支持配置API令牌、访问控制，可以部署在内网环境使用。

局限性

**依赖后端API**：扫描功能深度和质量取决于 ScanMalware.com 公共API的能力与配额。

**非实时交互**：深度扫描可能需要等待较长时间（几十秒到几分钟），不适合需要秒级响应的场景。

**需要技术知识**：初始的服务器部署和客户端配置需要一定的命令行和系统管理知识。

**部分高级功能受限**：一些ScanMalware.com的高级或实验性API端点在此MCP服务器中未被暴露。

如何使用

启动 MCP 服务器

首先，您需要让 ScanMalware MCP 服务器运行起来。最简单的方式是在本地使用 Python 运行。

配置 AI 客户端

接下来，在您的 AI 客户端（例如 Claude Desktop）配置文件中添加此 MCP 服务器。这通常涉及编辑一个 JSON 配置文件。

在对话中使用

重启 AI 客户端后，您就可以在对话中直接使用扫描功能了。AI 现在知道它拥有“提交扫描”、“查询结果”等工具。

（可选）部署到云端

如果您希望团队共享或长期运行，可以按照文档将服务器部署到 DigitalOcean 云服务器上，并通过 Nginx 提供安全的 HTTP 访问。

使用案例

网络钓鱼链接快速鉴定

用户收到一封伪装成某科技公司（如“TechCorp”）的邮件，要求更新账户信息。用户对邮件中的链接心存疑虑。

品牌滥用监控报告

某公司的安全团队希望每周检查一次，网络上是否有新出现的仿冒其品牌（如“Acme”）的钓鱼网站。

网站安全深度分析

开发者或安全研究员需要对一个已标记为可疑的网站进行深入分析，获取技术细节作为证据或研究材料。

常见问题

我需要付费使用 ScanMalware.com 的 API 吗？

扫描一个链接需要多长时间？

我可以扫描公司内网的网站吗？

如何确保我的 MCP 服务器通信安全？

为什么有些搜索工具告诉我需要提供至少一个过滤条件？

🚀 scanmalware - mcp

这是一个轻量级的Python MCP服务器，它封装了公共的ScanMalware.com API。

🚀 快速开始

本地运行（可流式传输的HTTP）

python -m venv .venv
source .venv/bin/activate
pip install -U pip
pip install .

export MCP_TRANSPORT=streamable-http
export MCP_HOST=127.0.0.1
export MCP_PORT=8000

scanmalware-mcp

使用Docker运行

docker build -t scanmalware-mcp .
docker run --rm -p 127.0.0.1:8000:8000 \
  -e MCP_TRANSPORT=streamable-http \
  -e MCP_HOST=0.0.0.0 \
  -e MCP_PORT=8000 \
  scanmalware-mcp

可选配置

可设置MCP_AUTH_TOKEN，以便HTTP传输需要Authorization: Bearer <MCP_AUTH_TOKEN>。
可选的认证环境变量（仅认证受限端点需要）：
- SCANMALWARE_BEARER_TOKEN
其他环境变量：
- SCANMALWARE_BASE_URL（默认值：https://scanmalware.com）
- SCANMALWARE_ALLOW_HTTP（默认值：false）
- SCANMALWARE_TIMEOUT_S（默认值：30）
- SCANMALWARE_MAX_DOWNLOAD_BYTES（默认值：10485760）
- SCANMALWARE_ALLOW_PRIVATE_TARGETS（默认值：false）
- SCANMALWARE_CA_CERT（可选；SSL验证的CA证书包路径）
MCP服务器安全环境变量：
- MCP_AUTH_TOKEN（如果设置，HTTP传输需要Authorization: Bearer <token>）
- MCP_RESOURCE_SERVER_URL / MCP_ISSUER_URL（可选；仅在设置MCP_AUTH_TOKEN时使用）

工具说明

submit_scan 不会调用 /api/v1/csrf - token；没有CSRF令牌工具。
一些上游端点被禁用，不包含在工具列表中（例如，get_improvements、find_screenshot_duplicates、get_ai_stats、search_js_fingerprinter2_code_hash、search_js_segments_by_tlsh）。
一些搜索工具至少需要一个过滤器，如果未提供则会引发验证错误。

💻 使用示例

钓鱼邮件分类（提交 → 等待 → 总结）

提交对https://example - login - update.com的扫描，等待完成，然后返回状态、风险评分和主要指标。如果风险高，包括AI分析和截图资源。

品牌滥用监控

搜索包含 "acme login" 的扫描结果（限制5条）。对于每个结果，列出扫描ID、状态、风险评分和URL。突出显示标记为高风险的结果。

TLS/证书检查

对于扫描ID 1234...abcd，获取TLS详细信息和证书PEM下载。总结颁发者、主题、有效期和SANs；标记不匹配项。

📦 安装指南

部署到DigitalOcean（Debian + Docker + Nginx）

部署包位于deploy/目录，运行两个容器：

mcp（此服务器，在8000端口上使用可流式传输的HTTP）
nginx（前端在80端口；将/mcp代理到MCP服务器）

前提条件

doctl 已认证（doctl auth init）
SSH密钥已上传到DigitalOcean（供doctl compute droplet create使用）

在德国（法兰克福）创建一个小的Droplet

DROPLET_NAME=scanmalware-mcp-small
REGION=fra1
SIZE=s-1vcpu-2gb
IMAGE=debian-12-x64
SSH_KEYS=$(doctl compute ssh-key list --format ID --no-header | paste -sd, -)

doctl compute droplet create "$DROPLET_NAME" \
  --region "$REGION" \
  --size "$SIZE" \
  --image "$IMAGE" \
  --ssh-keys "$SSH_KEYS" \
  --tag-name scanmalware-mcp \
  --wait

防火墙（公共HTTP/HTTPS + SSH）

doctl compute firewall create \
  --name scanmalware-mcp-fw \
  --inbound-rules "protocol:tcp,ports:22,address:0.0.0.0/0,address:::0/0" \
  --inbound-rules "protocol:tcp,ports:80,address:0.0.0.0/0,address:::0/0" \
  --inbound-rules "protocol:tcp,ports:443,address:0.0.0.0/0,address:::0/0" \
  --outbound-rules "protocol:icmp,ports:0,address:0.0.0.0/0,address:::0/0" \
  --outbound-rules "protocol:tcp,ports:0,address:0.0.0.0/0,address:::0/0" \
  --outbound-rules "protocol:udp,ports:0,address:0.0.0.0/0,address:::0/0" \
  --droplet-ids <droplet-id>

在Droplet上安装Docker + Compose

ssh -i /path/to/key root@<droplet-ip> \
  "apt-get update -y && apt-get install -y docker.io docker-compose"

上传并运行

tar --exclude=.git --exclude=.venv --exclude=__pycache__ -czf /tmp/scanmalware-mcp.tar.gz -C . .
scp -i /path/to/key /tmp/scanmalware-mcp.tar.gz root@<droplet-ip>:/tmp/
ssh -i /path/to/key root@<droplet-ip> \
  "mkdir -p /opt/scanmalware-mcp && tar -xzf /tmp/scanmalware-mcp.tar.gz -C /opt/scanmalware-mcp"
ssh -i /path/to/key root@<droplet-ip> \
  "cd /opt/scanmalware-mcp && docker-compose -f deploy/docker-compose.yml up -d --build"

验证

curl -I https://mcp.scanmalware.com/
curl -I https://mcp.scanmalware.com/mcp

/ 应该从Nginx返回200状态码。/mcp 在没有MCP Accept头的GET请求下返回406，这是预期的。

冒烟测试（MCP初始化 + 工具列表）

import json
import httpx

URL = "http://<droplet-ip>/mcp"
HEADERS = {
    "accept": "application/json, text/event-stream",
    "content-type": "application/json",
}

init_payload = {
    "jsonrpc": "2.0",
    "id": 1,
    "method": "initialize",
    "params": {
        "protocolVersion": "2025-06-18",
        "capabilities": {},
        "clientInfo": {"name": "mcp-smoke-test", "version": "0.1.0"},
    },
}

with httpx.Client(timeout=10) as client:
    init_resp = client.post(URL, headers=HEADERS, json=init_payload)
    init_resp.raise_for_status()
    session_id = init_resp.headers.get("mcp-session-id")

    def extract_sse_data(text: str) -> dict:
        for line in text.splitlines():
            if line.startswith("data: "):
                return json.loads(line[len("data: "):])
        raise ValueError("No SSE data line found")

    init_message = extract_sse_data(init_resp.text)
    protocol_version = init_message["result"]["protocolVersion"]

    # 发送初始化通知
    client.post(
        URL,
        headers={
            **HEADERS,
            "mcp-session-id": session_id,
            "mcp-protocol-version": protocol_version,
        },
        json={"jsonrpc": "2.0", "method": "notifications/initialized"},
    )

    tools_resp = client.post(
        URL,
        headers={
            **HEADERS,
            "mcp-session-id": session_id,
            "mcp-protocol-version": protocol_version,
        },
        json={"jsonrpc": "2.0", "id": 2, "method": "tools/list"},
    )
    tools_resp.raise_for_status()
    tools_message = extract_sse_data(tools_resp.text)
    tool_names = [tool["name"] for tool in tools_message["result"]["tools"]]

print("protocol_version:", protocol_version)
print("tool_count:", len(tool_names))
print("tools:", ", ".join(tool_names))

重新部署 / 新部署

1. 原地更新（同一Droplet）

tar --exclude=.git --exclude=.venv --exclude=__pycache__ -czf /tmp/scanmalware-mcp.tar.gz -C . .
scp -i /path/to/key /tmp/scanmalware-mcp.tar.gz root@<droplet-ip>:/tmp/
ssh -i /path/to/key root@<droplet-ip> \
  "bash /opt/scanmalware-mcp/deploy/redeploy.sh /tmp/scanmalware-mcp.tar.gz"

重新部署脚本在替换文件之前会停止容器，以避免挂载inode问题。如果脚本还不在Droplet上，先运行一次旧的tar + docker - compose命令来安装它。

可选的一次性辅助脚本（从仓库根目录运行）

./deploy/push-redeploy.sh root@<droplet-ip> /path/to/key

2. 滚动部署（新Droplet）

创建一个新的Droplet（上述步骤）
部署相同的包
将DNS切换到新IP
准备好后销毁旧的Droplet

doctl compute droplet delete <old-droplet-id> --force

📚 详细文档

有关部署、TLS、日志记录以及如何连接到DigitalOcean Droplet的详细信息，请参阅 docs/OPERATIONS.md。

Duckduckgo MCP Server

已认证

DuckDuckGo搜索MCP服务器，为Claude等LLM提供网页搜索和内容抓取服务

Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器，提供丰富的网页抓取、搜索和内容提取功能。

Framelink Figma MCP Server是一个为AI编程工具（如Cursor）提供Figma设计数据访问的服务器，通过简化Figma API响应，帮助AI更准确地实现设计到代码的一键转换。

TypeScript

74.6K

4.5分

Edgeone Pages MCP Server

EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务

Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务，通过Model Context Protocol直接集成到提示中，解决LLM使用过时信息的问题。

Exa MCP Server是一个为AI助手（如Claude）提供网络搜索功能的服务器，通过Exa AI搜索API实现实时、安全的网络信息获取。

百度地图MCP Server是国内首个兼容MCP协议的地图服务，提供地理编码、路线规划等10个标准化API接口，支持Python和Typescript快速接入，赋能智能体实现地图相关功能。

MiniMax Model Context Protocol (MCP) 是一个官方服务器，支持与强大的文本转语音、视频/图像生成API交互，适用于多种客户端工具如Claude Desktop、Cursor等。

智启未来，您的人工智能解决方案智库

MCP Server

概述

内容详情

替代品

什么是 ScanMalware MCP 服务器？

如何使用 ScanMalware MCP 服务器？

适用场景

主要功能

如何使用

使用案例

常见问题

相关资源

安装

🚀 scanmalware - mcp

🚀 快速开始

本地运行（可流式传输的HTTP）

使用Docker运行

可选配置

工具说明

💻 使用示例

钓鱼邮件分类（提交 → 等待 → 总结）

品牌滥用监控

TLS/证书检查

📦 安装指南

部署到DigitalOcean（Debian + Docker + Nginx）

前提条件

在德国（法兰克福）创建一个小的Droplet

防火墙（公共HTTP/HTTPS + SSH）

在Droplet上安装Docker + Compose

上传并运行

验证

冒烟测试（MCP初始化 + 工具列表）

重新部署 / 新部署

1. 原地更新（同一Droplet）

可选的一次性辅助脚本（从仓库根目录运行）

2. 滚动部署（新Droplet）

📚 详细文档

替代品