SolanaProx MCP Server 安全扫描报告 — 可信 | ClawSafe

5 /100

SolanaProx MCP Server

AI API 网关，以 Solana USDC 替代 API 密钥的支付协议实现

标准的 MCP AI 支付网关服务器，行为与文档完全一致，无恶意行为。

技能名称SolanaProx MCP Server

分析耗时45.8s

引擎pi

✓

可以安装

可安全使用。

安全发现 1 项

严重性	安全发现	位置
提示	prepare 生命周期脚本供应链 package.json 包含 'prepare': 'npm run build' 脚本，在 npm install 时自动触发 TypeScript 编译。这是标准 npm 实践，在开发依赖安装时执行，不会影响运行时安全。 `"prepare": "npm run build"` → 可考虑移至 devDependencies 的 prepareScript 或使用 .npmignore 排除构建步骤，但这不是安全风险。	`package.json:15`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	src/index.ts:1 调用 fetch 向 solanaprox.com API 发请求
环境变量	`READ`	`READ`	✓ 一致	src/index.ts:16 仅读取 SOLANA_WALLET（钱包地址）用于支付认证
文件系统	`NONE`	`NONE`	—	src/index.ts 无任何 fs 模块引用
命令执行	`NONE`	`NONE`	—	src/index.ts 无任何 subprocess/exec 调用

17 项发现

🔗

中危外部 URL 外部 URL

https://badge.fury.io/js/solanaprox-mcp.svg

README.md:5

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/solanaprox-mcp

README.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:6

🔗

中危外部 URL 外部 URL

https://opensource.org/licenses/MIT

README.md:6

🔗

中危外部 URL 外部 URL

https://402index.io

README.md:16

🔗

中危外部 URL 外部 URL

https://solanaprox.com

README.md:72

🔗

中危外部 URL 外部 URL

https://solanaprox.com/v1/messages

README.md:140

🔗

中危外部 URL 外部 URL

https://solanaprox.com/api/balance/YOUR_WALLET

README.md:196

🔗

中危外部 URL 外部 URL

https://solscan.io

README.md:217

🔗

中危外部 URL 外部 URL

https://solanaprox.com/docs

README.md:224

🔗

中危外部 URL 外部 URL

https://twitter.com/solanaprox

README.md:225

🔗

中危外部 URL 外部 URL

https://lightningprox.com

README.md:226

🔗

中危外部 URL 外部 URL

https://lpxpoly.com

README.md:235

🔗

中危外部 URL 外部 URL

https://isitarug.com

README.md:236

🔗

中危外部 URL 外部 URL

https://opencollective.com/express

package-lock.json:257

🔗

中危外部 URL 外部 URL

https://opencollective.com/fastify

package-lock.json:585

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:94

目录结构

7 文件 · 74.3 KB · 2331 行

JSON 3f · 1432L TypeScript 1f · 375L Markdown 2f · 334L JavaScript 1f · 190L

├─ ▾ 📁 src

│ └─ 📜 index.ts TypeScript 375L · 10.2 KB

├─ 📜 agent-exammple.js JavaScript 190L · 6.0 KB

├─ 📋 package-lock.json JSON 1368L · 47.6 KB

├─ 📋 package.json JSON 49L · 1.1 KB

├─ 📝 README.md Markdown 240L · 5.8 KB

├─ 📝 SKILL.md Markdown 94L · 3.4 KB

└─ 📋 tsconfig.json JSON 15L · 324 B

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	否	官方 MCP SDK，来源可信
`typescript`	`^5.0.0`	devDependencies	否	构建工具，仅开发环境使用

安全亮点

✓ 代码行为与 SKILL.md 声明完全一致，四工具均有明确文档

✓ 无文件系统访问、无 shell 执行

✓ 无凭证收割（仅读取 SOLANA_WALLET 钱包地址用于 x402 支付）

✓ 无混淆/编码/反分析技术

✓ 无数据外泄（所有网络请求均指向声明的 solanaprox.com）

✓ 无未声明的敏感路径访问（~/.ssh、.env、AWS 凭证等均无）

✓ 使用官方 @modelcontextprotocol/sdk，依赖透明

✓ 无 prompt injection 风险