SmeltSec
Features
|Security
|How It Works
|Pricing
|Docs
|Blog

Product

FeaturesSecurityPricingHow It WorksDocumentation

Resources

Quick StartAPI ReferenceCLI ReferenceLeaderboardBlog

Company

PrivacyTerms
SmeltSec
© 2026 SmeltSec. Open source CLI · Proprietary SaaS.
PrivacyTerms
    SEGURIDAD

    Pipeline de Seguridad de Dos Puertas

    Cada servidor MCP pasa por más de 16 escáneres en 2 puertas obligatorias antes de poder usarse. La Puerta 1 escanea tu código fuente. La Puerta 2 escanea el resultado generado. Nada se publica sin pasar ambas.

    Puerta 1
    Pre-Generación
    Generar
    Servidor MCP
    Puerta 2
    Post-Generación
    Pipeline de Seguridad en Vivobilling-mcp-server
    Ingesta de Fuente
    Analyzing acme/billing-service...
    Semgrep SAST
    Gitleaks
    OSV + Typosquat
    Env + Persistencia
    Decisión Puerta 1
    MCP-Scan + Conductual
    Evasión + Trojan Source
    Motor de Correlación
    Decisión Puerta 2
    ANÁLISIS PROFUNDO

    Dentro de las Puertas de Seguridad

    Haz clic en cada puerta para ver cada herramienta, qué detecta y qué bloquea la generación.

    Escaneo de Fuente Pre-Generación

    BLOQUEA SI:: Cualquier hallazgo crítico bloquea la generación inmediatamente.
    Semgrep
    LGPL-2.1
    $0
    Detecta
    Patrones de inyección SQL
    Inyección de comandos
    Credenciales codificadas
    Deserialización insegura
    Recorrido de rutas
    Vulnerabilidades XSS
    BLOQUEA SI:: Cualquier hallazgo de severidad crítica o alta
    Gitleaks
    MIT
    $0
    Detecta
    Claves API en el código
    Claves privadas y certificados
    Tokens OAuth
    Cadenas de conexión de base de datos
    Secretos en el historial de git
    Credenciales de proveedores cloud
    BLOQUEA SI:: Cualquier secreto o credencial detectado
    OSV-Scanner
    Apache-2.0
    $0
    Detecta
    CVEs conocidos en dependencias
    Nombres de paquetes typosquatteados
    Versiones de paquetes maliciosos
    Paquetes vulnerables obsoletos
    Problemas de cumplimiento de licencia
    Compromisos de cadena de suministro
    BLOQUEA SI:: Puntuación CVSS ≥ 7.0 o typosquat confirmado
    Env Analyzer
    MIT
    $0
    Detecta
    Secuestro del entorno PATH
    Mecanismos de persistencia
    Lecturas sospechosas de variables de entorno
    Instalación de tareas cron
    Modificación de scripts de inicio
    Manipulación del perfil de shell
    BLOQUEA SI:: Cualquier mecanismo de persistencia o secuestro PATH
    TARJETA DE INFORME

    Calificación A-F.

    7 Categorías. Sugerencias de Corrección Automática.

    Cada escaneo produce una puntuación de seguridad ponderada en 7 categorías. Las puntuaciones se agregan en una calificación de letra A–F con desgloses detallados y sugerencias de corrección automática para cada hallazgo.

    A
    92/100
    Puntuación General
    billing-mcp-server
    Report — Feb 24, 2026 14:32 UTC
    Análisis Estático25%92
    1
    Detección de Secretos20%100
    Seguridad de Dependencias20%78
    2
    Coincidencia Conductual15%95
    Resistencia a la Evasión10%88
    1
    Seguridad del Entorno5%100
    Puntuación de Correlación5%100
    Bloqueadores: 0
    Advertencias: 2
    Info: 1
    Auto-reparable: 2
    ANÁLISIS DE COMPORTAMIENTO

    ¿El Código Hace lo que Dice la Descripción?

    El envenenamiento de herramientas es el principal vector de ataque MCP. Los atacantes ocultan comportamiento malicioso dentro de herramientas que parecen legítimas. Nuestro motor de análisis conductual compara lo que una herramienta afirma hacer con lo que su código realmente hace.

    Análisis basado en AST de cada función de herramienta
    Comparación NLP de descripción vs. comportamiento del código
    Detección de llamadas de red ocultas no mencionadas en la descripción
    Análisis de alcance: ¿accede la herramienta a más de lo que afirma?
    Clasificación de severidad: veredictos CRÍTICO / MEDIO / COINCIDENCIA
    read_file()DISCREPANCIA CRÍTICA
    La descripción dice
    "Reads a single file from the provided path"
    El código realmente hace
    Recursively reads ALL files in home directory + exfiltrates to external URL
    PANORAMA DE AMENAZAS

    12 Clases de Amenazas. Todas Cubiertas.

    Inyección SQL
    Entradas no sanitizadas pasadas directamente a consultas de base de datos
    Gate 1 — Semgrep SASTBLOQUEADO
    Fuga de Secretos
    Claves API, tokens o contraseñas comprometidas en el código fuente
    Gate 1 — GitleaksBLOQUEADO
    Typosquatting
    Paquetes maliciosos con nombres similares a bibliotecas populares
    Gate 1 — OSV + TyposquatBLOQUEADO
    CVEs Conocidos
    Dependencias con vulnerabilidades de seguridad divulgadas públicamente
    Gate 1 — OSV-ScannerBLOQUEADO
    Secuestro de PATH
    Modificar el PATH del entorno para interceptar comandos del sistema
    Gate 1 — Env AnalyzerBLOQUEADO
    Mecanismos de Persistencia
    Tareas cron, scripts de inicio o modificaciones del perfil de shell
    Gate 1 — Env AnalyzerBLOQUEADO
    Envenenamiento de Herramientas
    Comportamiento malicioso oculto dentro de herramientas MCP aparentemente legítimas
    Gate 2 — MCP-ScanBLOQUEADO
    Inyección de Prompts
    Instrucciones maliciosas incrustadas en descripciones o salidas de herramientas
    Gate 2 — MCP-ScanBLOQUEADO
    Fuente Troyana
    Ataques de texto bidireccional Unicode que hacen que el código parezca diferente a como se ejecuta
    Gate 2 — Evasion DetectorBLOQUEADO
    Anti-Depuración
    Código que detecta entornos de análisis y oculta comportamiento malicioso
    Gate 2 — Evasion DetectorBLOQUEADO
    Exfiltración de Datos
    Llamadas de red ocultas que envían datos de usuarios a endpoints externos no autorizados
    Gate 2 — Behavioral AnalyzerBLOQUEADO
    Ataques Compuestos
    Ataques multivector que combinan hallazgos de baja severidad en exploits de alto impacto
    Gate 2 — Correlation EngineBLOQUEADO
    TRANSPARENCIA DE COSTOS

    12 de 13 Herramientas Son Gratuitas. Para Siempre.

    Construimos nuestro pipeline de seguridad sobre herramientas de código abierto porque creemos que la seguridad no debería costar extra. Cada escáner tiene licencia MIT, Apache-2.0 o LGPL. Puedes auditar cada línea de código que ejecutamos.

    HerramientaCostoLicencia
    Semgrep CE$0LGPL-2.1
    Gitleaks$0MIT
    OSV-Scanner$0Apache 2.0
    MCP-Scan$0Apache 2.0
    Typosquat Detector$0Built-in
    Correlation Engine$0Built-in
    Env / Persistence / Evasion$0Built-in
    Trojan Source Scanner$0Built-in
    Indirect Execution Scanner$0Built-in
    API Surface Analysis$0Built-in
    Permission Verification$0Built-in
    Semgrep Self-Check$0LGPL-2.1
    Behavioral Analysis~$0.02LLM-based
    Total por escaneo::$0.00 – $0.02

    La seguridad no es una característica. Es el pipeline.

    Cada servidor MCP generado en SmeltSec pasa automáticamente por los 16+ escáneres. Sin configuración necesaria. Disponible en el plan gratuito.