这个插件是做什么的
输入 GitHub 地址或 npm 包名,通过静态代码、沙箱运行行为、CVE 和声明与实际行为对照,生成信任评分与结论。
实际使用时,可以先从“检查 GitHub 工具仓库”开始,再根据任务继续“评估 npm 包安全状态”,并把“发现代码行为与工具声明不一致”纳入同一流程。官方目录列出的 1 个应用或连接器会按具体任务参与处理。
它更适合评估 MCP 工具的开发者、企业安全与采购团队和准备连接第三方工具的用户,尤其是希望用代码和沙箱证据判断 MCP 工具是否可信,并把相关资料与操作集中在 Codex 中完成的场景。
查看官方英文说明
ToolCheck is M8ven's trust layer for the MCP ecosystem. Give it a GitHub URL or npm package name and it returns an independent trust score (0–100) and a clear verdict (Trusted / Caution / Concern), backed by static code analysis, runtime behavioral observation in a sandbox, CVE scanning, and a semantic check comparing the tool's declared behavior against what its code actually does — catching the gap between "read-only market data" and code that can move your funds.
解决什么问题
- 用户仅凭工具自述无法判断 MCP 代码真实权限与安全风险
- 难以检查 GitHub 工具仓库
- 难以评估 npm 包安全状态
- 难以发现代码行为与工具声明不一致
适合哪些用户
- 评估 MCP 工具的开发者
- 企业安全与采购团队
- 准备连接第三方工具的用户
适合完成哪些任务
- 检查 GitHub 工具仓库
- 评估 npm 包安全状态
- 发现代码行为与工具声明不一致
包含的应用连接器
应用与连接器(1)
使用前注意事项
安装 ToolCheck by M8ven 时可能需要连接发布者账户,具体权限取决于你的套餐、地区和工作区管理员设置。 插件不会绕过外部服务权限,只能访问当前账户本来就有权访问的数据和操作。 官方目录当前没有提供单条插件的最近更新时间;达灵感不会用目录同步时间冒充更新时间。
安装到 Codex
当前官方目录未提供可直接复制的命令。你可以复制下面的安装指令并发送给 Codex,Codex 会查找对应插件并发起安装确认。

