Cisco снова делает ставку на искусственный интеллект в защите инфраструктуры. На GitHub вышел новый проект — MCP-Scanner, инструмент для аудита уязвимостей серверов, использующих Model Context Protocol (MCP) — стандарт, связывающий большие языковые модели (LLM) с внешними инструментами и плагинами.
На первый взгляд — это просто очередной «сканер безопасности». Но под капотом у MCP-Scanner — три движка, объединяющих классический анализ и ИИ-оценку кода, что делает его одной из первых гибридных систем защиты LLM-интерфейсов.
⚙️ Как это работает
🧩 Три анализатора, три слоя защиты:
- 🧠 Cisco AI Defense API — основной движок, использующий облачную модель Cisco для распознавания вредоносных паттернов и подозрительного поведения.
- 🧬 YARA-правила — сигнатурный анализатор, проверяющий коды и промпты по паттернам вредоносных или утечных фрагментов.
- 🤖 LLM-as-a-judge — интеллектуальная проверка через GPT-4o, Claude Sonnet или локальный Ollama-endpoint, где LLM оценивает логику и контекст инструмента: может привести к prompt-injection, утечке данных или выполнению произвольных команд, если сканируемые промпты или инструменты содержат вредоносные инструкции, а проверки выполняются без изоляции и фильтрации данных.
💡 По сути, MCP-Scanner впервые реализует «мета-проверку»: ИИ проверяет ИИ-систему.
🔍 Что он умеет
🛠 Режимы работы:
- CLI-интерфейс для локальных сканов (mcp-scanner --scan-known-configs)
- REST API-сервер (mcp-scanner-api --host 0.0.0.0 --port 8080) для CI/CD и web-интеграций
🔐 Поддержка аутентификации:
OAuth, Bearer-токены, пользовательские API-ключи — всё можно комбинировать.
🧾 Форматы вывода:
- 📄 summary — краткий отчёт
- 📊 table — табличная форма с цветовой подсветкой опасных участков
- 🔍 detailed — полный анализ по каждому инструменту, вплоть до уровня промпта
- 💾 raw — JSON-выгрузка для систем мониторинга и SIEM
💻 Пример:
mcp-scanner --server-url http://127.0.0.1:8001/sse --format detailed
Выводит детализированный отчёт:
Tool: execute_system_command
Threats: prompt injection, suspicious code execution
Severity: HIGH
🧠 Инженерия и стек
Под капотом — Python 3.11+, минималистичная BusyBox-среда, и чистая интеграция с uv (новым Python-менеджером пакетов).
Поддерживаются локальные LLM-инстансы — Ollama, vLLM, LocalAI — достаточно поднять эндпоинт и указать MCP_SCANNER_LLM_ENDPOINT=http://localhost:11434.
📦 Архитектура гибкая:
- асинхронный SDK (Scanner(config)), позволяющий встроить MCP-Scanner в Python-приложения;
- возможность писать свои YARA-правила и добавлять модели LLM для анализа.
С точки зрения DevSecOps — это почти SAST-анализатор для LLM-плагинов, который можно прикрутить в CI-пайплайн:
mcp-scanner-api --reload
curl -X POST http://localhost:8080/scan-all-tools -d '{"server":"https://mcp.example.com"}'
🌐 Почему это важно
Model Context Protocol становится стандартом в экосистемах Claude, VS Code, Cursor, Windsurf и других LLM-IDE.
Но каждая интеграция несёт риск: prompt-инъекции, утечки токенов, RCE-через-LLM.
MCP-Scanner закрывает эти дыры до того, как они станут уязвимостями продакшена. Фактически, это первый инструмент, где LLM сам решает, “безопасен ли другой LLM” — и делает это не на уровне синтаксиса, а на уровне семантики.
💬 Моё мнение
Cisco делает правильный шаг: мир ИИ-плагинов нуждается в стандартах безопасности.
Вместо старого антивирусного подхода, MCP-Scanner предлагает семантический аудит — проверку логики, а не просто кода.
Особенно впечатляет, что он поддерживает self-hosted режимы, позволяя запускать сканирование полностью локально — без передачи данных в облако.
Я вижу здесь рождение нового класса инструментов — LLM Security Scanners, которые скоро станут стандартом DevSecOps-цепочек.