SmeltSecSmeltSec
    Features
    |Security
    |How It Works
    |Pricing
    |Docs
    |Blog
    |About
    npm
    1. Home
    2. /
    3. How it works
    PROCESSO

    Do Código à Produção em 60 Segundos

    Oito etapas. Cada uma recebe uma entrada, executa uma ação, emite uma saída. Aponte o SmeltSec para um repo ou spec OpenAPI; obtenha um servidor MCP assinado, pontuado e pronto para deploy.

    1
    Ingestão da fonte
    2
    Análise do codebase
    3
    Geração de definições de ferramentas
    4
    Geração do código do servidor
    5
    Gate 1
    6
    Gate 2
    7
    Pontuação de qualidade
    8
    Atestação + deploy
    1
    ETAPA 1

    Ingestão da fonte

    Entrada: repo GitHub, spec OpenAPI ou linguagem natural

    Aponte o SmeltSec para uma de três fontes. Uma URL GitHub pública ou privada dispara um clone. Um documento OpenAPI 3.0/3.1 é parseado diretamente. Uma descrição em linguagem natural traz os docs de SDK relevantes. Saída: um bundle de código normalizado, pronto para o AST.

    Equivalente API
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    Análise de Fonte
    ◆ Analisando repositório... 342 files, 89 functions discovered
    ◆ Análise com Tree-sitter... Python AST extracted for 89 functions
    ◆ Mapeamento de superfície API... 14 public endpoints, 75 internal filtered
    ✓ Detecção de rotas: Flask routes (GET: 8, POST: 4, PUT: 2)
    ✓ Análise de autenticação: 12/14 endpoints require @auth_required
    ✓ Pronto para o Portão 1 14 tool candidates identified
    2
    ETAPA 2

    Análise do codebase

    Entrada: bundle de código → AST Tree-sitter

    Tree-sitter parseia o bundle e emite um AST tipado por arquivo. SmeltSec percorre a árvore, extrai assinaturas de funções públicas e handlers de rota, e filtra o que estiver marcado como internal ou deprecated. Saída: uma lista de candidatos chamáveis com suas anotações de tipo.

    Equivalente API
    GET /v1/servers/{id}/security/gate1
    Portão 1 — Varredura Pré-Geração
    ◆ Semgrep SAST: 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)
    ◆ Gitleaks: Code + git history — 0 secrets found
    ◆ OSV-Scanner: 23 deps — 1 medium CVE (requests 2.28)
    ◆ Superfície de API: 14 endpoints mapped, auth requirements logged
    ✓ Decisão Portão 1: PASSED — 0 blockers, 2 warnings
    3
    ETAPA 3

    Geração de definições de ferramentas

    Entrada: candidatos do AST → schemas MCP tipados

    Um passe com LLM transforma cada candidato em uma definição de ferramenta MCP: nome, descrição e um JSON Schema estrito para argumentos e tipo de retorno. Os docstrings alimentam as descrições; as anotações de tipo viram o schema. Saída: um manifesto de ferramentas tipadas prontas para conectar num servidor.

    Equivalente API
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    Pipeline de Geração
    ◆ Selecionando ferramentas... 14 tools selected from 89 functions
    ◆ Gerando descrições... AST + docstring analysis
    ◆ Construindo schemas... Zod schemas from type annotations
    ◆ Gerando servidor... FastMCP + Python 3.11
    ✓ Padrões de código: Retry, circuit breaker, sanitization embedded
    ✓ Servidor gerado 14 tools, ready for Gate 2
    4
    ETAPA 4

    Geração do código do servidor

    Entrada: manifesto de ferramentas → servidor FastMCP / TypeScript SDK

    Cada definição de ferramenta vira um handler real. SmeltSec emite código FastMCP (Python 3.11) ou TypeScript SDK, conecta retries, circuit breakers, sanitização de argumentos e o transporte escolhido. Saída: um repo de servidor MCP executável com dependências fixadas.

    Equivalente API
    GET /v1/servers/{id}/security/gate2
    Portão 2 — Varredura Pós-Geração
    ◆ MCP-Scan: 14 tools scanned — 0 poisoning, 0 hidden instructions
    ◆ Análise Comportamental: 14/14 tools — intent matches action
    ◆ Semgrep Self-Check: 0 new vulnerabilities introduced
    ◆ Verificação de Permissões: No escalation detected (all tools ≤ source scope)
    ✓ Decisão Portão 2: PASSED — Security Grade: A (91/100)
    5
    ETAPA 5

    Gate 1: varredura de segurança

    Entrada: servidor gerado → SAST, secrets, CVE, checagem de poisoning

    Tudo local. Tudo grátis. Semgrep executa as regras SAST, Gitleaks varre código e histórico git em busca de secrets, OSV-Scanner checa dependências fixadas contra a base OSV, MCP-Scan detecta poisoning em descrições. Uma descoberta Critical interrompe o pipeline. Saída: um relatório Gate 1 assinado.

    Equivalente API
    POST /v1/score { manifest: '...' }
    Pipeline de Pontuação
    ◆ Pontuação de Qualidade: 87/100 (B) — 6 dimensions
    ◆ Pontuação de Segurança: 91/100 (A) — 5 categories
    ◆ Descrição: 92/100 | Schema: 88 | Naming: 95
    ◆ Sobreposição: 78/100 — search_docs and find_docs similar
    ✓ Correção automática: 3 suggestions available (+12 points)
    ✓ Relatórios gerados Quality + Security report cards
    6
    ETAPA 6

    Gate 2: análise comportamental

    Entrada: relatório do Gate 1 + manifesto → verificação de comportamento com LLM

    Um LLM compara a descrição de cada ferramenta com o que o código realmente faz. Desajustes aparecem como desvio comportamental: uma ferramenta que diz ler mas também escreve, uma descrição que esconde efeitos colaterais, uma permissão nunca declarada. Esta etapa é paga (≈ $0,02 por servidor). Saída: um relatório comportamental com Pass / Warn / Fail por ferramenta.

    Equivalente API
    GET /v1/servers/{id}/config?client=claude_desktop
    Implantação & Configuração
    ✓ Claude Desktop: synced — ~/.config/claude/config.json
    ✓ Cursor: synced — ~/.cursor/mcp.json
    ✓ VS Code: synced — .vscode/mcp.json
    ✓ ChatGPT: synced — plugin manifest
    ✓ Windsurf: synced — ~/.windsurf/mcp.json
    ◆ Daemon: running — auto-sync on changes
    7
    ETAPA 7

    Pontuação de qualidade

    Entrada: servidor + relatórios → pontuação em 6 dimensões

    Seis dimensões, uma nota por servidor: clareza das descrições, completude do schema, consistência dos nomes, sobreposição com ferramentas existentes, superfície de erro e hooks de observabilidade. Cada dimensão tem uma pontuação numérica e uma sugestão de correção. Saída: um boletim (A–F) com itens acionáveis.

    Equivalente API
    POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }
    Detecção de Mudanças
    ◆ Push detectado: main @ abc1234
    ◆ Calculando diff: api/users.py (3 functions changed)
    ! Impacto ALTO: get_user — parameter signature changed
    ~ Impacto MÉDIO: update_user — return type changed
    · Impacto BAIXO: list_users — docstring updated
    → Atualização proposta: Surgical patch (preserves 12 edits)
    8
    ETAPA 8

    Atestação + deploy

    Entrada: servidor aprovado → atestação assinada + configs de cliente

    O SmeltSec empacota o servidor, os dois relatórios de gate, a pontuação de qualidade e um SBOM em uma atestação única assinada com cosign. As configs de cliente para Claude Desktop, Cursor, VS Code, ChatGPT e Windsurf são escritas em uma só passagem pelo daemon de sincronização. Saída: um servidor MCP assinado e deployável, com cada ferramenta conectada a cada cliente.

    Equivalente API
    GET /v1/servers/{id}/analytics?range=7d
    Análise & Exportação
    ◆ Total de chamadas (7d): 12,847
    ◆ Taxa de erro: 1.2% (below 5% threshold)
    ◆ Latência p95: 142ms
    ◆ REST API: 51 endpoints, 12 groups
    ◆ Webhooks: 16 events — HMAC-SHA256 signed
    ◆ OTEL push: Grafana / Datadog / custom OTLP endpoint
    Capabilities

    See all capabilities

    Nine modules — generation, security, quality scoring, monitoring, config sync, analytics, API, code patterns, governance — with what each one actually does.

    Deep dives

    Related reading

    We're Building MCP Servers Wrong

    Most MCP servers today are hand-rolled wrappers around REST APIs. Here is why that is a dead end — and what a repeatable pipeline looks like.

    Read post

    From REST API to MCP Server in 10 Minutes

    A walkthrough of the SmeltSec pipeline: point it at a REST endpoint, watch the eight steps run, end with a signed and deployable server.

    Read post

    The Hidden Cost of Not Monitoring Your MCP Servers

    What happens after step eight: upstream drift, silent breakage, and the cost of catching it in production instead of in CI.

    Read post
    FAQ

    Process Questions

    What to expect when running SmeltSec end to end.

    The full eight-step pipeline — source intake, codebase analysis, tool generation, server code generation, Gate 1, Gate 2, quality scoring, and attestation — finishes in under 60 seconds for a medium REST API. Large specs take a few minutes.
    A Critical finding blocks the step. The report gives you exact file paths, scanner IDs, and suggested fixes. Fix the issue and re-run, or waive individual findings with justification on Team and Enterprise plans.
    Yes. Every generation produces a preview you can inspect locally — source code, tool manifests, security reports, and quality score — before you publish it. Nothing deploys automatically.
    Yes. SmeltSec integrates with GitHub, GitLab, and Bitbucket and can pull specs and push generated servers into private repos. Enterprise plans support self-hosted Git and SAML SSO for teams.

    Pronto para começar?

    Gere seu primeiro servidor MCP em menos de 60 segundos. Varredura de segurança incluída em todos os planos.

    Product

    FeaturesSecurityPricingHow It WorksDocumentation

    Resources

    Quick StartAPI ReferenceCLI ReferenceLeaderboardBlogChangelogGitHubnpm (@smeltsec/cli)npm (@smeltsec/core)

    Company

    PrivacyTerms
    SmeltSec
    © 2026 SmeltSec. Open source CLI · Proprietary SaaS.
    PrivacyTerms