Part 01 漏洞分析工作流的革命性突破
名为 CVE MCP Server 的开源项目正在重新定义安全团队分析漏洞的方式。通过单一自然语言查询,该项目能让 Anthropic 的 Claude AI 直接关联访问 21 个外部 API 的 27 种情报工具,将其转变为全能型安全分析师。
每位安全分析师想必都深谙这种痛苦:即便只是分析单个 CVE(通用漏洞披露),也常常要同时打开十几个浏览器标签页——查询 NVD 获取 CVSS 评分、EPSS 评估漏洞利用概率、检索 CISA 已知被利用漏洞(KEV)目录、查看 GitHub 补丁状态、通过 VirusTotal 关联恶意软件、使用 Shodan 扫描暴露主机等等,流程极其碎片化。
行业数据证实了这一瓶颈的严重性:EPSS v4 研究显示,由于人工工作量限制,96% 低于利用阈值的 CVE 警报完全未经调查。对于需要同时处理 50 个以上 CVE 的团队来说,这种工作流程可能吞噬掉整个工作日。
Part 02 27 种工具的系统集成
由开发者 Mahipal(mukul975)在 GitHub 发布的 CVE MCP Server,是 Anthropic 模型上下文协议(MCP)的生产级实现。该开放标准支持大语言模型(LLM)应用与外部数据源及工具无缝集成。
该服务器将 Claude 与 27 种安全工具集成,划分为五大类别:核心漏洞情报、漏洞利用与攻击情报、高级风险与报告、网络情报以及威胁情报。整个技术栈基于 Python、FastMCP、httpx、aiosqlite、Pydantic v2 和 defusedxml 构建,仅通过出站 HTTPS 运行,无需开放入站端口,也不记录任何遥测数据或 API 密钥。这种设计本身就考虑了安全研究场景下的隐私与低摩擦部署。
工具目录相当全面,可直接投入生产:
- 核心漏洞工具:包括
lookup_cve(NVD)、get_epss_score(FIRST)、check_kev_status(CISA),以及支持并行批量获取最多 20 个 CVE 的 bulk_cve_lookup。
- 漏洞利用情报工具:可将 CVE 映射到 MITRE ATT&CK 技术框架,检查 GitHub 和 Exploit-DB 的 PoC 可用性,并检索 CAPEC 攻击模式。
- 网络情报层:集成 AbuseIPDB 信誉评分、GreyNoise 扫描活动、Shodan 主机画像和 CIRCL Passive DNS。
- 威胁情报工具:连接 VirusTotal、MalwareBazaar、ThreatFox 进行 IOC 查询,以及通过 Ransomwhere 追踪勒索软件比特币地址。
如果你对开源项目的源码分析和最佳实践感兴趣,可以关注 开源实战 板块。
Part 03 智能加权风险评估模型
该项目的核心是超越单纯 CVSS 评分的加权风险评估公式。这种方法与行业向多信号分类的转变趋势保持一致。公式权重分配如下:
- EPSS 概率占 35%
- CISA KEV 状态占 30%
- CVSS 评分占 20%
- PoC 可用性占 15%
对于 KEV+PoC 组合、CVSS ≥ 9.0 且 EPSS 评分高,以及新近发布的 CVE,系统会应用提升乘数。得分在 76-100 之间将触发 CRITICAL 标签,要求在 24 到 48 小时的紧急变更窗口内完成修补。
这种融合了 安全/渗透/逆向 工程思路的评估模型,有效降低了误报干扰,让团队能优先处置真正构成威胁的漏洞。
Part 04 开箱即用的部署优势
值得注意的一个设计决策是易用性:有八种工具无需 API 密钥即可运行,包括 EPSS、CISA KEV、OSV.dev、MITRE ATT&CK、CWE 查询、CVSS 解析、Ransomwhere 以及限速版 NVD。团队可以立即部署并开始查询,随后再按需逐步添加:
- 一级密钥(NVD、GitHub)可实现 10 倍吞吐量。
- 二级密钥(AbuseIPDB、VirusTotal、GreyNoise、Shodan)用于获取完整的多领域情报。
服务器还通过三项 DevSecOps 工具应对软件供应链安全问题:
scan_dependencies 查询 OSV.dev 获取有漏洞的软件包版本。scan_github_advisories 按生态系统搜索 GitHub 安全公告。urlscan_check 分析可疑 URL。
开发者只需在 Claude 中输入单个提示,即可扫描整个 requirements.txt 文件并获取优先升级建议,这无疑极大简化了依赖项审计流程。
CVE MCP Server 现已在 github.com/mukul975/cve-mcp-server 开源发布,支持 Claude Desktop 和 Claude Code 的即装即用配置。当安全分析从“多标签页切换”进化为“单次自然语言查询”,分析师终于能把精力从繁琐的工具切换中解放出来,投入到更具创造性的攻防对抗中去。
参考来源:
CVE MCP Server Turns Claude Into a Fully Capable Security Analyst With 27 Tools Across 21 APIs Era
| 
发表于 昨天 23:49
|
查看: 6|
回复: 0
