·guide·Fasad Salatov
Безопасность MCP-сервера: чек-лист для авторов
Твой MCP работает внутри Claude-сессии пользователя с доступом к его credentials. Вот security review, который мы проводим на каждом Verified-сервере — чтобы ты мог проверить свой раньше нас.
Что мы проверяем
Каждый MCP-сервер, поданный на Unyly с пометкой Verified, проходит этот review. Это тот же чек-лист, который полезно использовать любому автору MCP — со значком или без.
1. Сетевой трафик
- Исходящие вызовы только на задокументированные хосты (например
api.notion.comдля Notion MCP). - Никакой телеметрии в рекламные сети, никаких analytics SDK.
- Если сервер проксирует пользовательский контент, целевой хост назван в README.
2. Credentials
- Секреты только из
env(Claude config), не изargs. - Не логировать секреты целиком. Маскировать после первых 4 символов:
sk-abc1***. - Кешируешь токены — клади в
os.tmpdir()с правами 600, не в репо.
3. Filesystem scope
- Никаких записей за пределами
process.cwd()или явно указанных пользователем путей. fs.unlink/fs.rm— через tool с подтверждением, а не молча.- Никаких
require()от user-controlled путей (RCE).
4. Дизайн tools
- Описание каждого tool честно говорит о побочных эффектах.
- Деструктивные tools (delete, send, charge) узко определены: «удалить один issue», не «удалить все подходящие».
- Args валидируются по схеме — отклоняем неожиданные поля.
5. Зависимости
npm auditчистый.- Нет заброшенных (
>2 года без коммитов) зависимостей с CVE. - Lockfile в репо.
6. Лицензия
- Лицензия указана (предпочтительно MIT/Apache/BSD).
- Форки атрибутируют upstream.
Почему это важно
Плохой MCP-сервер может прочитать каждое письмо, каждый Slack DM, каждую строку Postgres пользователя. Claude делегирует MCP с полным доверием. Радиус взрыва скомпрометированного сервера огромен.
Verified badge
Пройди этот review — получи галочку на карточке. Verified-серверы конвертят в ~4 раза лучше — пользователи замечают. Подать свой →