English(EN) We Scored the Top 50 MCP npm Packages on Supply-Chain Risk. Here's What We Found.

顶级 AI 代理包显示供应链风险，包括官方参考实现

作者 PulseAugur 编辑部 · [1 个来源] · 2026-05-05 17:26

对排名前 50 的模型上下文协议 (MCP) npm 包的最新分析揭示了重大的供应链风险，尤其是在下载量很高的包中。这项研究结合了行为信号和针对 CWE-22 漏洞的静态分析，发现下载量最高的两个包 chrome-devtools-mcp 和 @upstash/context7-mcp 的评分均为“WARN”。官方参考实现 @modelcontextprotocol/server-filesystem 也因大量模式标志而获得“WARN”评分，这凸显了手动审计的必要性。 AI

影响突出了 AI 代理使用的包中的关键供应链漏洞，可能影响代理的安全性和可靠性。

排序理由这是一篇研究论文，详细介绍了对 MCP npm 包中供应链风险的新颖分析。[lever_c_demoted from research: ic=1 ai=1.0]

在 dev.to — MCP tag 阅读 →

AI 生成摘要 · Google Gemini · 来自 1 个来源。我们如何撰写摘要 →

报道来源 [1]

dev.to — MCP tag TIER_1 English(EN) · Pico · 2026-05-05 17:26

We Scored the Top 50 MCP npm Packages on Supply-Chain Risk. Here's What We Found.

<p>We ranked the 50 most-downloaded MCP server packages on npm by weekly install count. For each, we combined behavioral signals (maintainer count, package age, publish cadence) with CWE-22 static analysis from our <a href="https://dev.to/blog/mcp-path-traversal-pattern">mcp-scan…

报道来源 [1]

We Scored the Top 50 MCP npm Packages on Supply-Chain Risk. Here's What We Found.

相关实体

相关话题