SmeltSecSmeltSec
    Features
    |Security
    |How It Works
    |Pricing
    |Docs
    |Blog
    |About
    npm
    1. Home
    2. /
    3. Security
    सुरक्षा

    दो-गेट सुरक्षा पाइपलाइन

    प्रत्येक MCP सर्वर उपयोग से पहले 2 अनिवार्य गेट में 16+ स्कैनर से गुजरता है। गेट 1 आपके सोर्स कोड को स्कैन करता है। गेट 2 जनरेट किए गए आउटपुट को स्कैन करता है। दोनों पास किए बिना कुछ भी शिप नहीं होता।

    गेट 1
    पूर्व-जनरेशन
    जनरेट
    MCP सर्वर
    गेट 2
    पश्च-जनरेशन
    लाइव सुरक्षा पाइपलाइनbilling-mcp-server
    स्रोत इनटेक
    Analyzing acme/billing-service...
    Semgrep SAST
    Gitleaks
    OSV + Typosquat
    Env + परसिस्टेंस
    गेट 1 निर्णय
    MCP-Scan + व्यवहार
    Evasion + Trojan Source
    कोरिलेशन इंजन
    गेट 2 निर्णय
    गहन विश्लेषण

    सुरक्षा गेट के अंदर

    प्रत्येक गेट पर क्लिक करें हर टूल देखने के लिए, यह क्या पता लगाता है और क्या जनरेशन को ब्लॉक करता है।

    पूर्व-जनरेशन सोर्स स्कैन

    ब्लॉक करता है यदि:: कोई भी गंभीर खोज तुरंत जनरेशन को ब्लॉक कर देती है।
    Semgrep
    LGPL-2.1
    $0
    पता लगाता है
    SQL इंजेक्शन पैटर्न
    कमांड इंजेक्शन
    हार्डकोड क्रेडेंशियल
    असुरक्षित deserialización
    पाथ ट्रैवर्सल
    XSS कमज़ोरियाँ
    ब्लॉक करता है यदि:: कोई भी गंभीर या उच्च गंभीरता की खोज
    Gitleaks
    MIT
    $0
    पता लगाता है
    कोड में API कुंजियाँ
    निजी कुंजियाँ और प्रमाणपत्र
    OAuth टोकन
    डेटाबेस कनेक्शन स्ट्रिंग
    git इतिहास में सीक्रेट
    क्लाउड प्रोवाइडर क्रेडेंशियल
    ब्लॉक करता है यदि:: कोई भी पता लगाया गया सीक्रेट या क्रेडेंशियल
    OSV-Scanner
    Apache-2.0
    $0
    पता लगाता है
    निर्भरताओं में ज्ञात CVE
    टाइपोस्क्वाटेड पैकेज नाम
    दुर्भावनापूर्ण पैकेज संस्करण
    अप्रचलित कमज़ोर पैकेज
    लाइसेंस अनुपालन समस्याएँ
    सप्लाई चेन समझौते
    ब्लॉक करता है यदि:: CVSS स्कोर ≥ 7.0 या पुष्टि किया गया typosquat
    Env Analyzer
    MIT
    $0
    पता लगाता है
    PATH एनवायरनमेंट हाइजैकिंग
    परसिस्टेंस मैकेनिज़्म
    संदिग्ध env var रीड
    Cron जॉब इंस्टॉलेशन
    स्टार्टअप स्क्रिप्ट संशोधन
    शेल प्रोफ़ाइल टेम्परिंग
    ब्लॉक करता है यदि:: कोई भी परसिस्टेंस मैकेनिज़्म या PATH हाइजैक
    रिपोर्ट कार्ड

    A-F ग्रेड।

    7 श्रेणियाँ। ऑटो-फिक्स सुझाव।

    प्रत्येक स्कैन 7 श्रेणियों में एक भारित सुरक्षा स्कोर उत्पन्न करता है। स्कोर को A–F लेटर ग्रेड में एकत्रित किया जाता है, जिसमें प्रत्येक खोज के लिए विस्तृत ब्रेकडाउन और ऑटो-फिक्स सुझाव होते हैं।

    A
    92/100
    समग्र स्कोर
    billing-mcp-server
    Report — Feb 24, 2026 14:32 UTC
    स्टैटिक विश्लेषण25%92
    1
    सीक्रेट डिटेक्शन20%100
    निर्भरता सुरक्षा20%78
    2
    व्यवहार मिलान15%95
    Evasion प्रतिरोध10%88
    1
    एनवायरनमेंट सुरक्षा5%100
    कोरिलेशन स्कोर5%100
    ब्लॉकर्स: 0
    चेतावनियाँ: 2
    जानकारी: 1
    स्वत: ठीक करने योग्य: 2
    व्यवहार विश्लेषण

    क्या कोड वही करता है जो विवरण कहता है?

    टूल पॉइज़निंग #1 MCP अटैक वेक्टर है। हमलावर वैध दिखने वाले टूल में दुर्भावनापूर्ण व्यवहार छुपाते हैं। हमारा व्यवहार विश्लेषण इंजन तुलना करता है कि एक टूल क्या करने का दावा करता है बनाम उसका कोड वास्तव में क्या करता है।

    प्रत्येक टूल फ़ंक्शन का AST-आधारित विश्लेषण
    विवरण बनाम कोड व्यवहार का NLP तुलना
    विवरण में उल्लेखित न किए गए छुपे नेटवर्क कॉल का पता लगाना
    स्कोप विश्लेषण: क्या टूल अपने दावे से अधिक एक्सेस करता है?
    गंभीरता ग्रेडिंग: CRITICAL / MEDIUM / MATCH निर्णय
    read_file()गंभीर असंगति
    विवरण कहता है
    "Reads a single file from the provided path"
    कोड वास्तव में क्या करता है
    Recursively reads ALL files in home directory + exfiltrates to external URL
    खतरा परिदृश्य

    12 खतरा श्रेणियाँ। सभी कवर।

    SQL इंजेक्शन
    असेनिटाइज़ इनपुट सीधे डेटाबेस क्वेरी में पास
    Gate 1 — Semgrep SASTअवरुद्ध
    सीक्रेट लीकेज
    API कुंजियाँ, टोकन या पासवर्ड सोर्स कोड में कमिट
    Gate 1 — Gitleaksअवरुद्ध
    टाइपोस्क्वाटिंग
    लोकप्रिय लाइब्रेरी के समान नाम वाले दुर्भावनापूर्ण पैकेज
    Gate 1 — OSV + Typosquatअवरुद्ध
    ज्ञात CVE
    सार्वजनिक रूप से प्रकट सुरक्षा कमज़ोरियों वाली निर्भरताएँ
    Gate 1 — OSV-Scannerअवरुद्ध
    PATH हाइजैकिंग
    सिस्टम कमांड इंटरसेप्ट करने के लिए एनवायरनमेंट PATH बदलना
    Gate 1 — Env Analyzerअवरुद्ध
    परसिस्टेंस मैकेनिज़्म
    Cron जॉब, स्टार्टअप स्क्रिप्ट, या शेल प्रोफाइल बदलाव
    Gate 1 — Env Analyzerअवरुद्ध
    टूल पॉइज़निंग
    वैध दिखने वाले MCP टूल के अंदर छुपा दुर्भावनापूर्ण व्यवहार
    Gate 2 — MCP-Scanअवरुद्ध
    प्रॉम्प्ट इंजेक्शन
    टूल विवरण या आउटपुट में एम्बेडेड दुर्भावनापूर्ण निर्देश
    Gate 2 — MCP-Scanअवरुद्ध
    ट्रोजन सोर्स
    Unicode बिडायरेक्शनल टेक्स्ट अटैक जो कोड को एक्जीक्यूशन से अलग दिखाते हैं
    Gate 2 — Evasion Detectorअवरुद्ध
    एंटी-डीबगिंग
    कोड जो एनालिसिस एनवायरनमेंट पता लगाता है और दुर्भावनापूर्ण व्यवहार छुपाता है
    Gate 2 — Evasion Detectorअवरुद्ध
    डेटा एक्सफिल्ट्रेशन
    उपयोगकर्ता डेटा अनधिकृत बाहरी एंडपॉइंट पर भेजने वाले छुपे नेटवर्क कॉल
    Gate 2 — Behavioral Analyzerअवरुद्ध
    कंपाउंड अटैक
    मल्टी-वेक्टर अटैक जो कम-गंभीरता खोजों को उच्च-प्रभाव एक्सप्लॉइट में जोड़ते हैं
    Gate 2 — Correlation Engineअवरुद्ध
    लागत पारदर्शिता

    13 में से 12 टूल मुफ़्त हैं। हमेशा के लिए।

    हमने अपना सुरक्षा पाइपलाइन ओपन-सोर्स टूल पर बनाया क्योंकि हम मानते हैं कि सुरक्षा पर अतिरिक्त खर्च नहीं होना चाहिए। प्रत्येक स्कैनर MIT, Apache-2.0, या LGPL लाइसेंस प्राप्त है। आप हमारे द्वारा चलाए जाने वाले प्रत्येक कोड लाइन का ऑडिट कर सकते हैं।

    टूललागतलाइसेंस
    Semgrep CE$0LGPL-2.1
    Gitleaks$0MIT
    OSV-Scanner$0Apache 2.0
    MCP-Scan$0Apache 2.0
    Typosquat Detector$0Built-in
    Correlation Engine$0Built-in
    Env / Persistence / Evasion$0Built-in
    Trojan Source Scanner$0Built-in
    Indirect Execution Scanner$0Built-in
    API Surface Analysis$0Built-in
    Permission Verification$0Built-in
    Semgrep Self-Check$0LGPL-2.1
    Behavioral Analysis~$0.02LLM-based
    प्रति स्कैन कुल::$0.00 – $0.02
    Deep dives

    Related reading

    Why Most AI Tool Integrations Are Dangerously Insecure

    Everyone is racing to give AI agents access to their systems. Almost nobody is asking what happens when those agents get manipulated.

    Read post

    Securing MCP in a Zero-Trust World

    What zero-trust looks like when your clients are AI agents — and the trust boundaries you need to draw around every MCP tool call.

    Read post

    Your MCP Server Has a Secret Scoring Problem

    Secret detection is only half the battle. The other half is scoring, triage, and knowing which leaks actually matter.

    Read post
    FAQ

    Security Questions

    Common questions about how SmeltSec handles security.

    We run 16 scanners across two gates — including Semgrep CE for SAST, Gitleaks for secret detection, OSV-Scanner for CVEs, MCP-Scan for protocol-specific issues, a typosquat detector, Trojan Source scanner, indirect execution scanner, and behavioral analysis. The full list is on this page.
    Findings are ranked by severity (Critical, High, Medium, Low) and by blast radius — how exposed the affected code is via the MCP tool surface. Critical and High findings block the Gate; Medium and Low are reported but do not stop generation.
    Yes. You can bring your own Semgrep rulesets and custom MCP-scan policies. Team and Enterprise plans also support SARIF import, which lets you wire in findings from any scanner you already use.
    SOC 2 Type II is in progress and scheduled for completion in 2026. We already publish a security whitepaper and sign DPAs with Team and Enterprise customers. Reach out to sales@smeltsec.com for current compliance documentation.

    सुरक्षा एक फ़ीचर नहीं है। यह पाइपलाइन है।

    SmeltSec पर जनरेट किया गया प्रत्येक MCP सर्वर स्वतः सभी 16+ स्कैनर से गुजरता है। कोई कॉन्फ़िगरेशन की आवश्यकता नहीं। मुफ़्त प्लान पर उपलब्ध।

    Product

    FeaturesSecurityPricingHow It WorksDocumentation

    Resources

    Quick StartAPI ReferenceCLI ReferenceLeaderboardBlogChangelogGitHubnpm (@smeltsec/cli)npm (@smeltsec/core)

    Company

    PrivacyTerms
    SmeltSec
    © 2026 SmeltSec. Open source CLI · Proprietary SaaS.
    PrivacyTerms