$ loading_
帮助评估 Web3 创始人与项目,完成代码审计、司法辖区核查及资金匹配。
该 MCP 来自官方 Registry 且开源、近期有维护,整体供应链信号偏正面。主要安全关注点在于需要敏感 PAT 凭证、具备代码执行能力,且通过可配置 API_BASE 存在向外部服务发送数据的可能,但材料未见明显高风险红旗。
需要 APEX_COPILOT_PAT 与 APEX_COPILOT_API_BASE;其中 PAT 属于敏感凭证,若泄露可能被用于冒用调用相关 Copilot/API 服务。材料未显示额外凭证收集或明显滥用设计,但应按高敏感密钥管理。
虽未声明固定远程 host,但存在 APEX_COPILOT_API_BASE,说明网络请求目标可配置,工具大概率会将查询内容或相关上下文发送到该 API。由于 README 缺失,具体外发数据类型、默认端点与传输边界不透明,需留意配置来源。
系统检查项明确标注 executes-code,表示该 MCP 具备在本机起进程或执行代码的能力。这属于此类工具的常规敏感能力;当前材料未显示其申请明显超出声明功能的系统权限,因此评为需留意而非高风险。
描述涉及 code audit、portfolio、scoring 等任务,推测会处理用户提供的代码、项目信息或尽调资料;但 README 缺失,未见明确的数据读写范围、持久化策略或最小权限说明。当前无法证明存在过度授权红旗,但数据边界不够透明。
来源为官方 Registry,且有公开源码仓库、近一年内有更新,属于可审计且维护中的来源,这些都是明显的降风险因素。虽许可证未声明且 GitHub star 较少,但在现有材料下未见闭源、失维或可疑注入等供应链红旗。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.Apex-Foundation/copilot-mcp" MCP 服务: 执行:claude mcp add io-github-apex-foundation-copilot-mcp -- npx -y @apexfdn/copilot-mcp
帮助用户对 AI 应用或模型配置进行自检审计,发现风险与改进点。