ToolCheck by M8ven

ToolCheck MCP 安全评估

用代码和沙箱证据判断 MCP 工具是否可信。

加入项目

这个插件是做什么的

输入 GitHub 地址或 npm 包名,通过静态代码、沙箱运行行为、CVE 和声明与实际行为对照,生成信任评分与结论。

实际使用时,可以先从“检查 GitHub 工具仓库”开始,再根据任务继续“评估 npm 包安全状态”,并把“发现代码行为与工具声明不一致”纳入同一流程。官方目录列出的 1 个应用或连接器会按具体任务参与处理。

它更适合评估 MCP 工具的开发者、企业安全与采购团队和准备连接第三方工具的用户,尤其是希望用代码和沙箱证据判断 MCP 工具是否可信,并把相关资料与操作集中在 Codex 中完成的场景。

查看官方英文说明

ToolCheck is M8ven's trust layer for the MCP ecosystem. Give it a GitHub URL or npm package name and it returns an independent trust score (0–100) and a clear verdict (Trusted / Caution / Concern), backed by static code analysis, runtime behavioral observation in a sandbox, CVE scanning, and a semantic check comparing the tool's declared behavior against what its code actually does — catching the gap between "read-only market data" and code that can move your funds.

解决什么问题

  • 用户仅凭工具自述无法判断 MCP 代码真实权限与安全风险
  • 难以检查 GitHub 工具仓库
  • 难以评估 npm 包安全状态
  • 难以发现代码行为与工具声明不一致

适合哪些用户

  • 评估 MCP 工具的开发者
  • 企业安全与采购团队
  • 准备连接第三方工具的用户

适合完成哪些任务

  • 检查 GitHub 工具仓库
  • 评估 npm 包安全状态
  • 发现代码行为与工具声明不一致

包含的应用连接器

应用与连接器(1)

ToolCheck by M8ven

使用前注意事项

安装 ToolCheck by M8ven 时可能需要连接发布者账户,具体权限取决于你的套餐、地区和工作区管理员设置。 插件不会绕过外部服务权限,只能访问当前账户本来就有权访问的数据和操作。 官方目录当前没有提供单条插件的最近更新时间;达灵感不会用目录同步时间冒充更新时间。

安装到 Codex

当前官方目录未提供可直接复制的命令。你可以复制下面的安装指令并发送给 Codex,Codex 会查找对应插件并发起安装确认。