SolanaProx MCP Server 安全扫描报告 — 低风险 | ClawSafe

15 /100

SolanaProx MCP Server

AI API gateway using Solana/USDC payments via x402 protocol

Legitimate MCP server for AI API payments via Solana/USDC with no malicious behavior observed, though external service dependency and unversioned dependencies warrant attention.

技能名称SolanaProx MCP Server

分析耗时31.1s

引擎pi

✓

可以安装

This is a legitimate payment-gateway skill. Monitor for service availability and consider pinning @modelcontextprotocol/sdk to a specific version.

安全发现 2 项

严重性	安全发现	位置
低危	Unpinned Production Dependency 供应链 @modelcontextprotocol/sdk uses caret range ^1.0.0 allowing minor/patch updates from registry `"@modelcontextprotocol/sdk": "^1.0.0"` → Pin to specific version: "@modelcontextprotocol/sdk": "1.0.0"	`package.json:25`
提示	Wallet Address Transmitted with Every Request 数据外泄 SOLANA_WALLET address sent via X-Wallet-Address header to external service on every API call `"X-Wallet-Address": WALLET_ADDRESS` → Document that wallet addresses are pseudonymous on Solana; service only uses it for payment routing	`src/index.ts:111`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ_WRITE`	✓ 一致	src/index.ts:108-115 makes POST to /v1/messages
环境变量	`READ`	`READ`	✓ 一致	src/index.ts:18 reads SOLANA_WALLET env var
文件系统	`NONE`	`NONE`	—	No file operations in codebase
命令执行	`NONE`	`NONE`	—	No shell execution detected

17 项发现

🔗

中危外部 URL 外部 URL

https://badge.fury.io/js/solanaprox-mcp.svg

README.md:5

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/solanaprox-mcp

README.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:6

🔗

中危外部 URL 外部 URL

https://opensource.org/licenses/MIT

README.md:6

🔗

中危外部 URL 外部 URL

https://402index.io

README.md:16

🔗

中危外部 URL 外部 URL

https://solanaprox.com

README.md:72

🔗

中危外部 URL 外部 URL

https://solanaprox.com/v1/messages

README.md:140

🔗

中危外部 URL 外部 URL

https://solanaprox.com/api/balance/YOUR_WALLET

README.md:196

🔗

中危外部 URL 外部 URL

https://solscan.io

README.md:217

🔗

中危外部 URL 外部 URL

https://solanaprox.com/docs

README.md:224

🔗

中危外部 URL 外部 URL

https://twitter.com/solanaprox

README.md:225

🔗

中危外部 URL 外部 URL

https://lightningprox.com

README.md:226

🔗

中危外部 URL 外部 URL

https://lpxpoly.com

README.md:235

🔗

中危外部 URL 外部 URL

https://isitarug.com

README.md:236

🔗

中危外部 URL 外部 URL

https://opencollective.com/express

package-lock.json:257

🔗

中危外部 URL 外部 URL

https://opencollective.com/fastify

package-lock.json:585

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:94

目录结构

7 文件 · 74.3 KB · 2331 行

JSON 3f · 1432L TypeScript 1f · 375L Markdown 2f · 334L JavaScript 1f · 190L

├─ ▾ 📁 src

│ └─ 📜 index.ts TypeScript 375L · 10.2 KB

├─ 📜 agent-exammple.js JavaScript 190L · 6.0 KB

├─ 📋 package-lock.json JSON 1368L · 47.6 KB

├─ 📋 package.json JSON 49L · 1.1 KB

├─ 📝 README.md Markdown 240L · 5.8 KB

├─ 📝 SKILL.md Markdown 94L · 3.4 KB

└─ 📋 tsconfig.json JSON 15L · 324 B

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	否	Version range allows updates
`typescript`	`^5.0.0`	npm	否	Dev dependency only
`ts-node`	`^10.9.0`	npm	否	Dev dependency only

安全亮点

✓ No credential theft - wallet address is public by design on Solana

✓ No shell execution, base64 obfuscation, or reverse shell patterns

✓ No access to sensitive paths (~/.ssh, ~/.aws, .env)

✓ No data exfiltration to undeclared endpoints

✓ Clean code with proper error handling

✓ MIT licensed with transparent source and author information