基于MCP协议构建AI驱动的网络安全情报聚合与自动化分析平台

1. 项目概述：一个为AI工作流赋能的网络安全情报中枢

如果你是一名安全工程师、渗透测试人员，或者正在构建一个需要实时威胁情报的AI智能体，那么你肯定对这样的场景不陌生：为了评估一个供应商的风险，你需要在浏览器里同时打开NVD、CISA KEV、crt.sh、WHOIS查询工具、DNS查询工具和Censys，然后在各个标签页之间来回切换、复制粘贴，最后还得手动整理和交叉分析这些零散的数据。整个过程繁琐、耗时，而且容易出错。现在，想象一下，你只需要在Claude Desktop、Cursor或者任何支持MCP协议的AI客户端里，对你的AI助手说一句：“帮我分析一下suspicious-vendor.io这个域名的安全风险”，它就能在30秒内，调用一个统一的工具，为你生成一份包含域名年龄、邮件安全配置、子域名暴露情况、关联的已知被利用漏洞等信息的结构化风险评估报告。这就是Cybersecurity Intelligence MCP Server带来的变革。

这个项目本质上是一个运行在Apify平台上的Model Context Protocol (MCP) 服务器。MCP是Anthropic提出的一种协议，旨在让AI助手（如Claude）能够安全、标准化地调用外部工具和数据源。而这个MCP服务器，则集成了六大权威的网络安全公开数据源，将它们封装成八个即用即走的工具。它不是一个需要你部署和维护的复杂系统，而是一个“开箱即用”的服务。你只需要在AI客户端的配置文件中添加一行指向它的URL，你的AI助手就立刻获得了查询20万+个CVE、检查CISA已知被利用漏洞目录、通过证书透明度日志枚举子域名、审计DNS和邮件安全配置、扫描互联网暴露主机以及调查域名注册信息的能力。

它的核心价值在于“聚合”与“自动化”。它将原本分散、手动、需要专业知识才能解读的威胁情报数据，变成了AI可以理解和操作的标准化API。这不仅极大地提升了安全调查的效率，更重要的是，它使得将安全智能嵌入到自动化工作流（如CI/CD流水线、供应商准入流程、SOC自动化剧本）中变得前所未有的简单。对于个人安全研究员或小型团队而言，它提供了一种按需付费、无需前期投入的“企业级”威胁情报能力；对于大型组织，它则可以作为现有安全工具栈的一个有力补充，专门服务于AI驱动的自动化场景。

2. 核心功能与数据源深度解析

这个MCP服务器之所以强大，是因为它背后整合了六个经过精心挑选、在安全社区内被广泛认可和信赖的公开数据源。理解每个数据源能提供什么、以及它的局限性，是有效使用这个工具的关键。

2.1 漏洞情报：NIST NVD 与 CISA KEV

NIST NVD (National Vulnerability Database)是美国国家标准与技术研究院维护的漏洞数据库，它是CVE（通用漏洞与暴露）列表的官方参考实现。当你使用cyber_search_vulnerabilities工具时，就是在实时查询这个数据库。它支持通过关键词、CVE ID、CPE（通用平台枚举）名称、CVSS严重等级和发布日期范围进行搜索。返回的结果不仅包含漏洞描述和CVSS评分，还详细列出了攻击向量、攻击复杂度、所需权限等元数据，以及关联的CWE（通用弱点枚举）标识符。这为漏洞的定性和优先级排序提供了丰富的数据支撑。

注意：NVD的公共API有严格的速率限制（大约每30秒5次请求）。这意味着，如果你进行一个时间范围很广的搜索或请求大量结果（比如max_results: 500），工具内部会自动处理这些延迟，整个查询可能会花费几分钟时间。对于日常的漏洞排查，建议将max_results设置在50-100之间，并合理使用severity过滤器来聚焦高优先级问题。

CISA KEV (Known Exploited Vulnerabilities Catalog)是美国网络安全与基础设施安全局维护的“已知被利用漏洞”目录。这个目录的价值在于它的“行动导向性”。被列入KEV的漏洞，意味着有确凿证据表明其正在被活跃利用，因此CISA会为联邦机构设定强制性的修补截止日期（dueDate）。cyber_exploited_vulnerabilities工具就是查询这个目录。你可以按供应商、产品、添加日期过滤，甚至可以专门筛选出与已知勒索软件活动相关的漏洞（ransomware_only: true）。在漏洞管理的实际工作中，KEV条目是确定补丁优先级的“金标准”——如果一个漏洞同时出现在NVD和KEV中，那么修复它的紧急程度应该被提到最高。

2.2 攻击面测绘：Censys 与 crt.sh

Censys是一个持续对互联网进行扫描并建立索引的平台。cyber_search_hosts工具允许你使用Censys的搜索语法，来发现暴露在公网上的特定服务。例如，你可以搜索services.service_name: "HTTP" AND location.country: "CN" AND services.http.response.headers.location: "*admin*"来寻找位于中国且HTTP重定向响应头中包含“admin”字样的主机，这可能是未授权访问的管理后台入口点。

实操心得：Censys提供免费套餐（每月250次查询），但如果没有提供API凭证，该工具将返回演示数据（标记为_dryRun）。对于严肃的安全评估，建议注册一个Censys账户获取免费API密钥。在构造查询时，要尽量具体，例如结合端口、服务横幅、地理位置等信息，以避免快速耗尽免费配额并得到更精确的结果。

crt.sh (Certificate Transparency Log Search)证书透明度（CT）是一项安全标准，要求CA（证书颁发机构）将其颁发的所有SSL/TLS证书公开记录到公共日志中。cyber_ssl_certificates工具查询的就是这些日志的聚合索引——crt.sh。通过搜索一个主域名，你可以发现所有曾为其（包括子域名）颁发过证书的记录。这是进行“被动子域名枚举”的黄金方法。与主动的DNS爆破相比，它完全不会向目标发送任何探测包，隐秘且高效。工具返回的结果会标记每个子域名是否“活跃”（isActive），以及最后被看到的时间（lastSeen），帮助你快速区分出现存资产和历史遗迹。

2.3 基础架构与资产情报：DNS 与 WHOIS/RDAP

DNS查询(cyber_dns_lookup) 提供了目标域名的实时解析信息，包括A/AAAA记录（IP地址）、MX记录（邮件服务器）、NS记录（域名服务器）、TXT记录等。其中，对安全评估尤为重要的是对邮件安全记录的审计功能（当check_email_security: true时）。它会检查并解析SPF（发件人策略框架）、DMARC（基于域的消息认证、报告和一致性）和DKIM（域名密钥识别邮件）记录。一个配置得当的SPF、DMARC和DKIM组合，能有效防止域名被用于发送钓鱼邮件。如果检查发现这些记录缺失或配置不当（如DMARC策略为p=none），则意味着该域名存在被仿冒的高风险。

WHOIS/RDAP查询(cyber_whois_lookup) 获取域名的注册信息。在GDPR等隐私法规实施后，注册人的姓名、地址等详细信息通常被隐藏，但一些关键的安全元数据仍然可用：

• 域名年龄 (domainAge)：新注册的域名（例如，小于30天）是钓鱼攻击的典型特征。
• 过期时间 (expiresIn)：即将过期的域名可能被用于短期攻击，或者意味着资产管理不善。
• DNSSEC状态 (dnssec)：DNSSEC通过对DNS数据进行数字签名，防止缓存投毒等攻击。启用DNSSEC是安全最佳实践的标志之一。

2.4 智能聚合：cyber_domain_intelligence

这是整个服务器的“王牌”工具。它不是一个简单的数据堆积，而是一个智能化的风险评估引擎。当你调用它并传入一个域名时，它会并行执行以下操作：

1. 查询该域名的DNS记录（含邮件安全审计）和WHOIS信息。
2. 从crt.sh枚举所有子域名。
3. （可选）根据域名前缀（如从apache.org提取apache）猜测供应商名称，并查询CISA KEV，看该供应商是否有已知被利用的漏洞。
4. （可选）查询NVD，寻找提及该域名或产品的CVE。

在所有数据返回后，一个内置的规则引擎开始工作，基于一系列预定义的启发式规则生成风险指示器（riskIndicators）：

• CRITICAL: 域名年龄 < 30天（高钓鱼风险）。
• WARNING: 域名年龄在30-180天之间。
• ALERT: 发现与猜测供应商相关的KEV条目（尤其是勒索软件关联的）。
• INFO: DNSSEC未启用，或邮件安全记录缺失等。

最终，它输出一个统一、结构化的JSON对象，将原始数据转化为可直接用于决策的风险评分摘要。一次调用，一个价格（$0.045），就能完成以往需要手动操作多个工具、耗时数十分钟的初步安全评估。

3. 集成与实操：将安全情报嵌入你的AI工作流

理解了工具能做什么之后，关键在于如何将它用起来。集成到支持MCP的AI客户端是最直接的方式，这能让你的AI助手瞬间获得“安全专家”的能力。

3.1 配置连接详解

以Claude Desktop为例，配置过程非常直接。你需要找到其配置文件，通常位于：

• macOS:~/Library/Application\ Support/Claude/claude_desktop_config.json
• Windows:%APPDATA%\Claude\claude_desktop_config.json
• Linux:~/.config/Claude/claude_desktop_config.json

用文本编辑器打开这个文件（如果不存在则创建），在mcpServers部分添加如下配置：

{ "mcpServers": { "cybersecurity-intelligence": { "url": "https://cybersecurity-intelligence-mcp.apify.actor/mcp", "headers": { "Authorization": "Bearer YOUR_APIFY_TOKEN" } } } }

这里有几个关键点需要注意：

1. 获取Apify Token：你需要注册一个免费的Apify账户，然后在 账户集成页面 创建一个API令牌。将这个令牌替换掉上面的YOUR_APIFY_TOKEN。这个令牌用于身份验证和计费。
2. 配置生效：保存配置文件后，需要完全重启Claude Desktop应用，新的MCP服务器才会被加载。
3. 其他客户端：对于Cursor、Windsurf或其他任何实现了MCP Streamable HTTP传输协议的客户端，配置方式是相同的。你只需要在相应的配置位置添加同样的服务器块即可。

配置成功后，当你下次在Claude Desktop中开启一个新对话时，Claude就会知道它可以使用这些网络安全工具了。你可以尝试用自然语言发出指令，例如：

• “查一下CVE-2021-44228的详细信息。”
• “分析一下example.com这个域名的安全状况。”
• “找出所有影响Apache产品且正在被利用的漏洞。”

3.2 通过HTTP API进行程序化调用

除了集成到AI客户端，你还可以直接通过HTTP API来调用这些工具，这为自动化脚本和集成到现有工作流打开了大门。使用curl命令或任何你熟悉的编程语言（Python, JavaScript等）都可以。

下面是一个使用curl调用cyber_domain_intelligence工具的示例：

curl -X POST "https://cybersecurity-intelligence-mcp.apify.actor/mcp" \ -H "Content-Type: application/json" \ -H "Authorization: Bearer YOUR_APIFY_TOKEN" \ -d '{ "jsonrpc": "2.0", "method": "tools/call", "params": { "name": "cyber_domain_intelligence", "arguments": { "domain": "suspicious-vendor.io", "check_exploited": true } }, "id": 1 }'

这个请求是一个标准的JSON-RPC 2.0调用。method指定为tools/call，params.name指定要调用的工具名，params.arguments则是传递给该工具的参数字典。响应将是一个包含完整风险评估的JSON对象。

重要提示：Apify平台对Actor（即运行的工具）有执行时间和内存的限制。这个MCP服务器配置了120-180秒的超时时间。对于非常复杂的查询（如大范围NVD搜索），有可能超时。在设计自动化工作流时，建议为这类调用设置合理的超时重试机制。

3.3 成本控制与免费额度

该服务采用按次计费模式，每次工具调用（无论查询复杂度或返回数据量大小）收费$0.045。这是一个非常清晰透明的定价模型。

对于个人开发者或进行概念验证的团队，Apify的免费套餐每月提供$5的平台信用额度。这意味着你每月可以免费进行大约111次工具调用（$5 / $0.045 ≈ 111）。这足够进行大量的日常安全查询和小范围的自动化测试。

更重要的是，你可以在Apify控制台中为每次运行（Run）设置预算上限。例如，如果你创建一个定时任务每天扫描10个域名，你可以将预算设置为$0.45（10次调用）。一旦达到这个成本，运行会立即停止，而不会产生意外费用。这种“熔断”机制对于构建由AI代理触发的自动化工作流至关重要，可以防止因循环错误或异常输入导致成本失控。

4. 高级使用技巧与场景化案例

掌握了基础用法后，我们可以深入探讨一些高级技巧和具体的应用场景，以最大化这个工具的价值。

4.1 漏洞管理与补丁优先级的实战流程

假设你是一家公司的安全运维工程师，负责管理一个包含Apache HTTP Server、Nginx和MySQL的服务器资产清单。每周一，你需要评估这些资产面临的漏洞风险。

传统手动流程：

1. 访问NVD网站，分别搜索“Apache HTTP Server”、“Nginx”、“MySQL”相关的CVE。
2. 手动记录下高危和严重漏洞的CVE ID。
3. 打开CISA KEV网站，逐个粘贴CVE ID，检查它们是否在已知被利用目录中。
4. 整理出需要优先处理的漏洞列表，并分发给运维团队。

使用MCP服务器的自动化流程： 你可以编写一个简单的Python脚本，或者直接在Claude中通过对话，执行以下步骤：

1. 批量漏洞发现：调用cyber_search_vulnerabilities，使用cpe_name参数进行精确查询（例如cpe:2.3:a:apache:http_server），并将severity设置为CRITICAL或HIGH，max_results设为50。
2. 交叉验证利用状态：获取上一步的CVE ID列表，将其作为输入，循环调用cyber_exploited_vulnerabilities（或一次性传入多个ID，如果工具支持的话——当前版本需要循环或使用query参数进行模糊匹配）。更高效的方法是，直接使用cyber_exploited_vulnerabilities的vendor参数，查询“Apache”、“Nginx”等供应商的被利用漏洞。
3. 生成报告：将NVD的漏洞详情（CVSS分数、攻击复杂度）与KEV的利用状态和修补截止日期合并，生成一个按风险排序的表格。那些同时是高危（HIGH/CRITICAL）且已知被利用（in KEV）的漏洞，就是需要立即行动的P0级任务。

这个流程可以将数小时的手动工作压缩到几分钟内完成，并且结果更准确、更结构化。

4.2 供应商安全入网评估自动化

在采购或引入新的第三方SaaS服务时，对其安全状况进行初步评估是标准流程。cyber_domain_intelligence工具是这个场景的完美解决方案。

评估清单自动化：

1. 输入供应商主域名：例如new-vendor.example。
2. 执行综合评估：调用cyber_domain_intelligence(domain: "new-vendor.example", check_exploited: true)。
3. 解读风险报告：
   • 域名年龄：如果domainAge小于180天，需警惕是否为临时或可疑项目。
   • 邮件安全：如果hasEmailSecurity为false，说明该供应商在防止域名被用于钓鱼攻击方面存在基本安全缺失。
   • 已知漏洞：exploitedVulnerabilities列表揭示了该供应商技术栈中已知的、正在被利用的安全问题。
   • 子域名暴露：certificates.activeSubdomains展示了其互联网暴露面的大小，api、admin、test等子域名可能暗示着不同的服务入口。
4. 决策支持：可以将这份报告的输出直接整合到公司的供应商风险管理（VRM）平台或工单系统中，作为审批流程的一个自动化环节。风险指标（如出现CRITICAL）可以自动触发更深入的人工审查。

4.3 构建AI驱动的安全运营中心（SOC）助手

对于安全运营团队，可以将此MCP服务器作为后台情报引擎，赋能前端的AI聊天机器人或自动化剧本。

场景：自动化告警初步研判当SOC收到一个关于潜在漏洞的告警（例如，来自IDS的“Apache Log4j RCE尝试”告警）时：

1. AI助手介入：告警被自动转发到一个集成了此MCP的AI助手（如通过Slack机器人或内部聊天工具）。
2. 情报查询：AI助手自动解析告警中的CVE ID（如CVE-2021-44228），并发起两个并行查询：
   • cyber_search_vulnerabilities(cve_id: "CVE-2021-44228")获取漏洞详情。
   • cyber_exploited_vulnerabilities(query: "CVE-2021-44228")确认是否被主动利用。
3. 生成研判摘要：AI助手综合两份情报，生成一段摘要：“确认告警：CVE-2021-44228 (Log4Shell)，CVSS 10.0 CRITICAL，攻击复杂度低，无需权限。关键情报：该漏洞已被列入CISA KEV目录，与已知勒索软件活动关联，联邦机构修补截止日期为2021-12-24。建议：立即启动应急响应流程，优先级为最高（P0）。”
4. 关联资产调查：AI助手还可以进一步询问：“我们有哪些资产可能受此影响？” 结合内部的CMDB（配置管理数据库），对可能使用Log4j的资产域名，调用cyber_domain_intelligence进行快速的外部暴露面检查。

这样，一级分析师在查看告警时，已经获得了一份丰富的上下文情报，可以更快地做出准确的处置决策。

4.4 与Apify其他执行器组合构建工作流

Apify平台的优势在于其执行器（Actor）生态。你可以通过Apify的控制台、API或集成工具（如Make/Zapier），将网络安全MCP服务器与其他执行器串联，构建更强大的工作流。

案例：自动化品牌保护监控

• 步骤1（发现）：使用 Website Contact Scraper 定期搜索互联网上可能仿冒你公司品牌的域名（通过关键词组合）。
• 步骤2（评估）：将发现的疑似域名列表，通过Apify平台的数据传输，传递给cyber_domain_intelligence执行器（通过HTTP API调用）。
• 步骤3（筛选）：解析评估结果，筛选出riskIndicators中包含CRITICAL: Domain is only X days old或WARNING: No email security records found的域名。
• 步骤4（上报）：将高风险域名列表通过 Webhook 发送到Slack频道或安全工单系统，供法务或安全团队进一步处理。

这种“发现-评估-响应”的自动化流水线，可以7x24小时运行，极大地提升了品牌保护的效率和响应速度。

5. 常见问题、局限性与避坑指南

即使工具功能强大，在实际使用中也会遇到一些特定情况和限制。了解这些能帮助你更好地规划和使用它。

5.1 性能与速率限制应对策略

• 问题：cyber_search_vulnerabilities查询速度慢，有时会超时。

• 原因与对策：根本原因是NVD公共API的速率限制。工具内部已经做了延迟处理，但对于大范围查询仍需时间。

  • 策略1（精确查询）：尽量使用cve_id进行精确查找，或使用cpe_name而非宽泛的关键词。
  • 策略2（分而治之）：如果需要扫描某产品多年的漏洞，不要一次性设置过大的日期范围（如date_from: "2010-01-01"）。可以按年度或季度分批查询。
  • 策略3（利用缓存）：对于相对静态的信息（如某个旧CVE的详情），可以考虑在自己的应用层增加缓存，避免重复查询NVD。

• 问题：cyber_search_hosts返回的结果是演示数据。

• 原因与对策：这是因为你没有提供有效的Censys API凭证。前往 censys.io 注册免费账户，获取API ID和Secret，然后在调用时传入censys_api_id和censys_api_secret参数即可获得真实数据。免费账户每月有250次查询额度，对于非大规模扫描足够使用。

5.2 数据覆盖与准确性的边界

• 问题：通过cyber_ssl_certificates没有找到我知道的某个子域名。

• 原因：crt.sh并未索引所有存在的证书透明度日志（CT Logs）。如果某个子域名的证书是由一个未被crt.sh收录的小型CA或私有CA签发的，或者该证书从未被提交到公共CT日志，那么它就不会出现在结果中。这意味着被动枚举不能保证100%的完整性，它应作为主动枚举（如DNS爆破）的补充，而非替代。

• 问题：cyber_domain_intelligence中关于供应商漏洞的猜测不准确。

• 原因：该工具使用简单的启发式方法——提取域名的第一个标签作为供应商名（如从cloud.example.com提取cloud）。这对于通用词汇（cloud, api, mail）或非公司名的域名是无效的。

  • 解决方案：对于重要的供应商评估，不要依赖自动猜测。可以先通过cyber_whois_lookup或公司官网确定其正确名称，然后手动调用cyber_exploited_vulnerabilities(vendor: "CorrectVendorName")进行精确查询。

• 问题：cyber_dns_lookup显示dkimFound: false，但我知道该域名配置了DKIM。

• 原因：该工具检查的是一组常见的DKIM选择器（如google,selector1,default等）。如果目标域名使用了自定义的选择器（例如mycompany._domainkey），工具将无法检测到。dkimFound: false仅表示在预定义的常见选择器中未找到记录，不能断定DKIM完全缺失。对于完整的邮件安全审计，可能需要使用更专业的工具进行手动验证。

5.3 成本优化与最佳实践

1. 批量操作：cyber_dns_lookup和cyber_whois_lookup都支持一次传入最多50个域名的数组。审计公司拥有的所有域名时，务必使用此功能，将50次调用的成本压缩为1次。
2. 善用cyber_domain_intelligence：这是性价比最高的工具。在初步调查时，总是先使用它。它一次调用（$0.045）并行完成了DNS、WHOIS、SSL证书和KEV检查。只有在需要更深度的数据（如完整的证书历史、更复杂的CVE搜索）时，才调用对应的独立工具。
3. 设置预算上限：无论是通过Apify控制台运行，还是通过API在自动化脚本中调用，务必为每次运行（Run）设置预算上限。这能防止因脚本错误、循环失控或意外的大规模查询导致不可预知的费用。
4. 理解“被动”的局限：这个工具集提供的是被动威胁情报。它不会对目标系统进行端口扫描、服务探测或漏洞利用。它不能替代Nmap、Nessus、Burp Suite等主动扫描工具。它的价值在于快速、隐蔽地收集公开信息，为主动扫描提供目标清单和上下文，或在不允许主动扫描的场景（如第三方评估）下进行风险评估。

我个人在将这类工具集成到自动化工作流中的体会是，清晰的职责边界和合理的预期管理至关重要。这个MCP服务器是一个出色的“情报收集员”和“初步分析员”，它能极大提升效率，但它不能替代专业安全工程师的深度分析和判断。把它当作你数字工具箱中的一个强力扳手，而不是整个工具箱本身。在涉及关键业务决策时，永远要以多源验证和深度分析为准。