SolanaProx MCP Server Security Report — Trusted | ClawSafe

5 /100

SolanaProx MCP Server

AI API 网关，以 Solana USDC 替代 API 密钥的支付协议实现

标准的 MCP AI 支付网关服务器，行为与文档完全一致，无恶意行为。

Skill NameSolanaProx MCP Server

Duration45.8s

Enginepi

✓

Safe to install

可安全使用。

Findings 1 items

Severity	Finding	Location
Info	prepare 生命周期脚本 Supply Chain package.json 包含 'prepare': 'npm run build' 脚本，在 npm install 时自动触发 TypeScript 编译。这是标准 npm 实践，在开发依赖安装时执行，不会影响运行时安全。 `"prepare": "npm run build"` → 可考虑移至 devDependencies 的 prepareScript 或使用 .npmignore 排除构建步骤，但这不是安全风险。	`package.json:15`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	src/index.ts:1 调用 fetch 向 solanaprox.com API 发请求
Environment	`READ`	`READ`	✓ Aligned	src/index.ts:16 仅读取 SOLANA_WALLET（钱包地址）用于支付认证
Filesystem	`NONE`	`NONE`	—	src/index.ts 无任何 fs 模块引用
Shell	`NONE`	`NONE`	—	src/index.ts 无任何 subprocess/exec 调用

17 findings

🔗

Medium External URL 外部 URL

https://badge.fury.io/js/solanaprox-mcp.svg

README.md:5

🔗

Medium External URL 外部 URL

https://www.npmjs.com/package/solanaprox-mcp

README.md:5

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:6

🔗

Medium External URL 外部 URL

https://opensource.org/licenses/MIT

README.md:6

🔗

Medium External URL 外部 URL

https://402index.io

README.md:16

🔗

Medium External URL 外部 URL

https://solanaprox.com

README.md:72

🔗

Medium External URL 外部 URL

https://solanaprox.com/v1/messages

README.md:140

🔗

Medium External URL 外部 URL

https://solanaprox.com/api/balance/YOUR_WALLET

README.md:196

🔗

Medium External URL 外部 URL

https://solscan.io

README.md:217

🔗

Medium External URL 外部 URL

https://solanaprox.com/docs

README.md:224

🔗

Medium External URL 外部 URL

https://twitter.com/solanaprox

README.md:225

🔗

Medium External URL 外部 URL

https://lightningprox.com

README.md:226

🔗

Medium External URL 外部 URL

https://lpxpoly.com

README.md:235

🔗

Medium External URL 外部 URL

https://isitarug.com

README.md:236

🔗

Medium External URL 外部 URL

https://opencollective.com/express

package-lock.json:257

🔗

Medium External URL 外部 URL

https://opencollective.com/fastify

package-lock.json:585

📧

Info Email 邮箱地址

[email protected]

SKILL.md:94

File Tree

7 files · 74.3 KB · 2331 lines

JSON 3f · 1432L TypeScript 1f · 375L Markdown 2f · 334L JavaScript 1f · 190L

├─ ▾ 📁 src

│ └─ 📜 index.ts TypeScript 375L · 10.2 KB

├─ 📜 agent-exammple.js JavaScript 190L · 6.0 KB

├─ 📋 package-lock.json JSON 1368L · 47.6 KB

├─ 📋 package.json JSON 49L · 1.1 KB

├─ 📝 README.md Markdown 240L · 5.8 KB

├─ 📝 SKILL.md Markdown 94L · 3.4 KB

└─ 📋 tsconfig.json JSON 15L · 324 B

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	No	官方 MCP SDK，来源可信
`typescript`	`^5.0.0`	devDependencies	No	构建工具，仅开发环境使用

Security Positives

✓ 代码行为与 SKILL.md 声明完全一致，四工具均有明确文档

✓ 无文件系统访问、无 shell 执行

✓ 无凭证收割（仅读取 SOLANA_WALLET 钱包地址用于 x402 支付）

✓ 无混淆/编码/反分析技术

✓ 无数据外泄（所有网络请求均指向声明的 solanaprox.com）

✓ 无未声明的敏感路径访问（~/.ssh、.env、AWS 凭证等均无）

✓ 使用官方 @modelcontextprotocol/sdk，依赖透明

✓ 无 prompt injection 风险

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives