项目简介

Phylax SCP Registry 是一个包含结构化软件漏洞威胁概况（Security Context Protocols - SCPs）的开源仓库。该仓库旨在通过 Model Context Protocol (MCP) 向大型语言模型（LLM）客户端和开发者工具提供丰富的安全上下文信息和功能，帮助开发者在编码过程中更好地理解和应对安全风险。

主要功能点

1. 提供安全上下文数据（资源）: 托管并允许AI访问各种安全相关数据，例如特定CVE（常见漏洞与暴露）的详细描述、缓解措施、检测指南、红队载荷等。
2. 暴露安全工具: 允许AI调用预定义的安全相关工具，例如搜索CVE信息、获取特定CVE的检测特征、分析代码片段是否存在漏洞。
3. 定义安全相关Prompt: 提供针对安全审查、漏洞分析等场景的Prompt模板，帮助AI以更聚焦的方式进行安全讨论和代码评估。

安装步骤

该MCP服务器基于Node.js环境运行。请按照以下步骤安装：

1. 克隆仓库: 打开终端或命令行，克隆本项目到本地目录。

   git clone https://github.com/phylaxsecurity/scp-registry.git
   cd scp-registry
   

2. 安装Node.js: 如果您的系统尚未安装Node.js，请前往 https://nodejs.org/ 下载并安装适合您操作系统的最新版本。
3. 安装依赖: 在项目根目录（scp-registry 目录）下运行npm命令安装MCP SDK和其他依赖。

   npm install
   

服务器配置

该MCP服务器通过标准的Stdio（标准输入输出）传输协议与MCP客户端（如兼容MCP的LLM应用或插件）通信。用户需要在其MCP客户端的配置文件中添加此服务器的配置信息，以便客户端知道如何启动并连接到该服务器。

典型的MCP客户端配置（例如在类似Claude Desktop的应用程序配置文件中）会包含一个 'mcpServers' 部分，您需要在此处添加一个条目。例如：

• 'phylax-scp-registry': 您为该服务器定义的名称，客户端会使用此名称引用它。
• 'command': 启动服务器的可执行文件路径，对于Node.js脚本，通常是 'node'。
• 'args': 传递给 'command' 的参数列表。这里是服务器脚本的路径。您需要将 '[insertlocaldirectory]' 替换为您本地克隆 'scp-registry' 仓库的绝对路径，指向 'server.js' 文件。在Windows上路径分隔符可能是 ''，在Linux/macOS上是 '/'。
• 'env': 环境变量，此处示例设置了 'NODE_ENV' 为 'production'。

请根据您使用的MCP客户端的具体文档找到其配置文件位置（通常是一个JSON文件，如 'config.json'），并按其格式要求添加上述信息，务必将 '[insertlocaldirectory]' 替换为实际路径。

基本使用方法

配置完成后，当兼容MCP的LLM客户端启动并连接到此服务器后，AI将能够感知到“Phylax SCP Registry”服务器的存在及其提供的功能。

1. 访问安全上下文: 您可以在与AI交互时，通过Prompt引导其访问服务器上托管的CVE资源。例如，询问AI关于特定CVE（如CVE-2021-44228，Log4j漏洞）的信息、如何检测或如何缓解，AI可能会利用此服务器上的数据来提供详细回答。
2. 调用安全工具: AI可以在需要时调用服务器提供的工具。例如，如果您要求AI分析一段代码的安全性，AI可能会调用“analyze_code_vulnerability”工具，并将代码片段作为参数传递给服务器进行初步分析。
3. 使用Prompt模板: AI可以使用预定义的Prompt模板来结构化安全相关的对话或代码审查请求。

总而言之，该服务器作为AI的安全知识和能力提供者，在后台默默工作，增强AI在处理与软件安全相关任务时的能力和准确性。具体如何触发这些功能取决于您的LLM客户端的交互方式和AI模型的能力。