CVE MCP Server：用一句话让 Claude 变身全能安全分析师

做安全分析的朋友大概都有过这种体验：查一个 CVE 漏洞，得同时开着十几个浏览器标签——NVD 上看 CVSS 评分，EPSS 里翻利用概率，CISA 的 KEV 目录核对是否在野利用，再去 GitHub 搜补丁，VirusTotal 查关联恶意软件，Shodan 扫暴露资产……

这不是效率低的问题，是根本干不过来。EPSS v4 的研究数据很扎心：96% 低于利用阈值的 CVE 告警，安全团队压根没时间调查。一个团队要是同时处理 50 个以上的 CVE，光在这些工具之间切来切去，一天就过去了。

一句话打通 27 个情报源

GitHub 上有个叫CVE MCP Server的开源项目，开发者 Mahipal（mukul975）正在尝试改变这个局面。它基于 Anthropic 的模型上下文协议（MCP），把 Claude AI 和 21 个外部 API 的 27 种安全工具串在了一起。

这意味着什么？你在 Claude 里输一句自然语言，它就能自动调用这些工具，把原本分散在各处的漏洞情报一次性拉回来，整理成一份完整的分析报告。Claude 从聊天助手变成了能干活的安全分析师。

整个项目用 Python、FastMCP、httpx、aiosqlite、Pydantic v2 和 defusedxml 搭建，只走出站 HTTPS，不需要开入站端口，也不存任何遥测数据或 API 密钥，安全性上有基本保障。

五大类工具，覆盖漏洞分析全链路

这 27 个工具被分成了五大块，基本覆盖了从漏洞发现到风险评估的完整流程：

核心漏洞情报是最基础的一层。lookup_cve直接调 NVD 数据库，get_epss_score取 FIRST 的利用概率评分，check_kev_status查 CISA 的已知被利用漏洞目录。bulk_cve_lookup支持批量并行查询，一次最多能拉 20 个 CVE 的详情，省了大量重复操作。

漏洞利用与攻击情报这层负责回答"这个漏洞到底能不能打"。工具会把 CVE 映射到 MITRE ATT&CK 技术框架，检查 GitHub 和 Exploit-DB 上有没有公开的 PoC，同时检索 CAPEC 的攻击模式库。对于需要快速判断威胁程度的场景，这层信息很关键。

网络情报帮你看看漏洞在真实互联网上的暴露面。AbuseIPDB 的信誉评分、GreyNoise 的扫描活动监测、Shodan 的主机画像、CIRCL 的 Passive DNS，这些工具组合起来，能勾勒出漏洞被利用时的实际网络环境。

威胁情报则往深处挖。VirusTotal、MalwareBazaar、ThreatFox 做 IOC 查询，Ransomwhere 追踪勒索软件相关的比特币地址。如果某个 CVE 已经被武器化，这里能找到最直接的证据。

DevSecOps 工具是容易被忽略但很实用的一块。scan_dependencies查 OSV.dev 找有漏洞的软件包版本，scan_github_advisories按生态系统搜 GitHub 安全公告，urlscan_check分析可疑 URL。开发者可以直接扔给 Claude 一个requirements.txt，让它扫描一遍并给出优先升级建议。

不止看 CVSS，多维度加权算风险

这个项目真正有价值的地方，是它不只看 CVSS 评分，而是搞了一套加权风险评估公式。行业里越来越多人在推多信号分类，CVE MCP Server 的做法是：

• EPSS 利用概率占 35%

• CISA KEV 状态占 30%

• CVSS 评分占 20%

• PoC 可用性占 15%

如果某个漏洞同时满足 KEV + PoC、CVSS ≥ 9.0 且 EPSS 评分高，或者是新发布的 CVE，系统会乘上一个提升系数。最终得分 76 到 100 的，直接标 CRITICAL，要求 24 到 48 小时内紧急修补。

这种算法比单一看 CVSS 更贴近实战。有些漏洞评分不高，但已经有公开利用代码且在野被打了，传统方法可能漏掉，这套加权模型能把它们捞出来。

零门槛起步，按需升级

部署设计上考虑得挺周到。八个工具不需要 API 密钥就能跑，包括 EPSS、CISA KEV、OSV.dev、MITRE ATT&CK、CWE 查询、CVSS 解析、Ransomwhere，还有限速版的 NVD。团队下载下来就能直接试，不用先走一堆申请流程。

等用顺手了，再逐步加 key：

• 一级密钥：NVD、GitHub，能把查询吞吐量提 10 倍

• 二级密钥：AbuseIPDB、VirusTotal、GreyNoise、Shodan，解锁完整的多领域情报能力

这种渐进式配置对中小团队很友好，不用一开始就投入大量成本。

实际怎么用

目前项目已经在 GitHub 开源（github.com/mukul975/cve-mcp-server），支持 Claude Desktop 和 Claude Code 的即装即用配置。

实际工作流大概是：安全工程师在 Claude 里输入"分析一下 CVE-2024-XXXX，看看风险等级和修复建议"，Claude 自动调用 CVE MCP Server 的多个工具，把 NVD 详情、EPSS 概率、KEV 状态、PoC 可用性、网络暴露面、关联威胁情报全部聚合起来，生成一份结构化的分析报告。原本需要切十几个标签页、手动复制粘贴整合的活儿，现在一句话搞定。

对于每天要处理大量 CVE 的安全运营团队，这种效率提升不是锦上添花，是能不能把活干完的区别。毕竟 96% 的告警被忽略，不是因为不重要，是因为人真的看不过来。CVE MCP Server 这类工具的价值，就在于把分析师从机械性的信息搜集里解放出来，让他们把精力放在真正的判断和决策上。