Show HN: Diplomat-agent scan Python MCP servers for unguarded tool calls
Diplomat-agent is an open-source tool that scans Python MCP (Model Context Protocol) servers to detect unguarded tool calls. It helps developers identify security vulnerabilities where tools can be invoked without proper validation or authorization, improving the safety of AI agent integrations.
背景メモ
- MCP(Model Context Protocol)は、AIエージェント(Claudeなど)が外部のツールやデータにアクセスするためのオープンプロトコル。Pythonで書かれたMCPサーバーが増えているが、そのセキュリティ監査はまだ十分でない。
- 「Diplomat-agent」は、こうしたMCPサーバーに対して、認証や認可が適切に設定されていない「無防備なツール呼び出し」を自動でスキャンするオープンソースのセキュリティツール。開発者はサイバーセキュリティの専門家で、実際に脆弱性を発見した経験を持つ。
- ポイントは「AIエージェントが直接呼び出すツールのセキュリティ対策が追いついていない」という問題意識。従来のAPIセキュリティとは異なり、エージェントが自律的にツールを選んで実行する新たな攻撃面(attack surface)が可視化されている。