SmeltSec is a security and quality platform for Model Context Protocol (MCP) servers. We generate MCP servers from existing code, scan them with 16 security tools across 2 gates, monitor upstream dependencies, and sync configs to every major AI client.

Is SmeltSec open source?

Our CLI is open source. The SaaS backend (analytics, monitoring, managed scanning) is proprietary. 7 of the 8 security scanners we bundle are free and open source (Semgrep CE, Gitleaks, OSV-Scanner, MCP-Scan, and more).

How does SmeltSec compare to rolling my own security pipeline?

Rolling your own Semgrep + Gitleaks + OSV-Scanner + MCP-Scan integration typically takes 2-3 engineer-months. SmeltSec gives you the same 16 scanners plus quality scoring, monitoring, and multi-client config sync in under 60 seconds.

What AI clients does SmeltSec support?

Claude Desktop, Cursor, ChatGPT Desktop, Windsurf, and VS Code. Config sync daemon runs locally and writes to each client's native config format.

Is my code sent to SmeltSec servers?

You control that. The CLI can run Gate 1 entirely locally. The managed scanning service (Gate 2) runs in our infrastructure — see our security docs for SOC 2 controls and data retention policy.

MCP服务器平台

生成。. 保护。. 维护。.

从提示词到生产环境，不超过60秒。SmeltSec生成服务器，用16个安全扫描器跨2个关卡扫描，监控上游变更，并将配置同步到每个主流AI客户端。

$ npx smeltsec scan ./my-serverlive on npm →

实时

›scoring XiaoYouChR/Ghost-Downloader-3›scoring argilla-io/argilla›scoring navdeep-G/samplemod›scoring standard/standard›scoring h2oai/h2o-llmstudio›scoring react-boilerplate/react-boilerplate›scoring macanv/BERT-BiLSTM-CRF-NER›scoring statelyai/xstate›scoring microsoft/muzic›scoring elsewhencode/project-guidelines›scoring quantumlib/Cirq›scoring Bitwise-01/Instagram-›scoring bigint/hey›scoring feder-cr/Jobs_Applier_AI_Agent_AIHawk›scoring googlemaps/google-maps-services-python›scoring vuejs/vue-cli›scoring tencentmusic/cube-studio›scoring qubvel/segmentation_models›scoring helm/helm›scoring pyinfra-dev/pyinfra›scoring corna/me_cleaner›scoring aosabook/500lines›scoring google/google-ctf›scoring roboflow/sports›scoring gd3kr/BlenderGPT›scoring CopilotKit/CopilotKit›scoring khast3x/h8mail›scoring minimaxir/textgenrnn›scoring hashicorp/consul›scoring wireviz/WireViz›scoring XiaoYouChR/Ghost-Downloader-3›scoring argilla-io/argilla›scoring navdeep-G/samplemod›scoring standard/standard›scoring h2oai/h2o-llmstudio›scoring react-boilerplate/react-boilerplate›scoring macanv/BERT-BiLSTM-CRF-NER›scoring statelyai/xstate›scoring microsoft/muzic›scoring elsewhencode/project-guidelines›scoring quantumlib/Cirq›scoring Bitwise-01/Instagram-›scoring bigint/hey›scoring feder-cr/Jobs_Applier_AI_Agent_AIHawk›scoring googlemaps/google-maps-services-python›scoring vuejs/vue-cli›scoring tencentmusic/cube-studio›scoring qubvel/segmentation_models›scoring helm/helm›scoring pyinfra-dev/pyinfra›scoring corna/me_cleaner›scoring aosabook/500lines›scoring google/google-ctf›scoring roboflow/sports›scoring gd3kr/BlenderGPT›scoring CopilotKit/CopilotKit›scoring khast3x/h8mail›scoring minimaxir/textgenrnn›scoring hashicorp/consul›scoring wireviz/WireViz

加入以正确方式构建MCP服务器的开发者

信任注册表

已评分 500 个开源仓库

对最受欢迎的与MCP相关的公开仓库进行独立的安全与质量评分。每日更新。

500

已评分仓库

平均安全分

平均质量分

100

最高分

威胁全景

MCP的发展速度超过了其安全防护的速度。

我们对最受欢迎的 MCP 相关公开仓库运行了一个由 16 个扫描器组成的流水线 —— 涵盖 SAST、密钥泄漏、依赖 CVE、MCP 工具投毒、提示注入和供应链攻击。三分之二的仓库至少有一个 B 级或更差的安全发现。MCP 生态的扩张速度超过了本应保护它的工具。SmeltSec 是我们生成、监控和评分的每一个服务器底层的安全层。

Pipeline · 16 scanners

Semgrep CEGitleaksOSV-ScannerMCP-ScanTool poisoningPrompt injectionTrojan sourceSupply chainSymlink threats

工作原理

三步走向生产

描述您的API

使用自然语言描述、导入GitHub仓库或粘贴OpenAPI规范。60秒生成生产就绪代码。

生成并扫描

16个安全扫描器在2个关卡运行——生成前和生成后。严重发现将阻止交付。

部署并监控

关联GitHub仓库实现自动变更检测。追踪使用分析。将配置同步到每个主流AI客户端。

功能特性

适配每种工作流程

对话界面

用自然语言描述您的MCP服务器应该做什么，60秒内获得生产就绪代码。

自然语言输入
迭代优化
部署前预览
模板库

GitHub集成

导入任何GitHub仓库。SmeltSec用Tree-sitter分析您的代码库，通过webhook检测变更，并提出精准的更新建议。

仓库导入与分析
Webhook变更检测
影响分类
自动PR提案

OpenAPI导入

粘贴OpenAPI规范，获得完全类型化的MCP服务器。每个端点都成为带有正确模式和描述的工具。

完整规范解析
自动类型生成

安全

8工具安全管道

每个服务器都经过两次扫描——关卡1在生成前（SAST、密钥、CVE、API表面），关卡2在生成后（工具投毒、行为分析、权限提升）。严重发现将阻止交付。

SAST分析

针对漏洞和反模式的静态代码分析

密钥检测

扫描泄露的API密钥、令牌和凭据

CVE与依赖

对照已知漏洞数据库检查依赖项

工具投毒

检测行为异常和权限提升

16个安全扫描器——大多数永久免费

生成前后扫描

A-F安全报告卡

自动修复建议

质量

6维度质量评分

从6个维度对任何MCP服务器评分。获取自动修复建议以提升LLM理解能力。根据最低分数阻止部署。应用修复后平均提升87%。

工具描述

25%

输入模式

20%

错误处理

15%

安全态势

20%

行为一致性

10%

文档

10%

分析

按工具查看使用情况

即插即用代理拦截MCP调用并按工具报告分析数据：调用次数、延迟P50/P95/P99、错误和客户端分布。平均每天跟踪12.8K次调用。通过API、webhook或OpenTelemetry设置告警和导出数据。

4,953次扫描完成

过去12周

vs. hand-rolled

Why not just wire it up yourself?

Semgrep, Gitleaks, OSV-Scanner, and MCP-Scan are all open source. Integrating them yourself takes 2–3 engineer-months. SmeltSec gives you all sixteen scanners plus quality scoring, monitoring, and multi-client config sync in 60 seconds.

See the full comparison →

定价

简单透明的定价

从关卡1安全功能免费开始。升级获取完整管道。

免费

生成MCP服务器

$0永久

每月5次CLI生成

关卡1安全扫描

3项质量评分

2个客户端配置同步

准备好构建了吗？

在60秒内开始生成安全的MCP服务器。所有计划均包含安全扫描。