io.github.CSOAI-ORG/firmware-attestation-mcp

帮助用户扫描固件并进行可信证明，识别硬件信任与安全风险。

来源

官方 Registry

更新于

2026-06-13

// 安全评估需留意

本机运行进程
官方 / 精选来源
开源可审计
社区验证

总评

该 MCP 工具材料非常简略，未声明需要密钥或远程外联，且来源于官方 Registry、具备开源仓库，整体未见明确高风险红旗。主要注意点在于其会执行本地代码，且目标功能涉及固件扫描，实际数据访问范围与系统调用能力需要在部署前进一步核验。

凭证密钥低风险

材料明确标注“无”密钥/环境变量要求，未见 API token、账号凭证或第三方授权信息，因此凭证泄露与滥用面较小。

网络外发低风险

材料明确标注“无”远程端点 host，且未描述向外部服务上传扫描结果或用户数据；基于现有材料，未见明确的数据外发路径。

代码执行需留意

系统检查项显示该工具会执行代码；结合“固件扫描/证明”用途，合理推测会在本机调用底层检测逻辑或系统能力。此属 MCP 工具常见能力，但应注意其具体调用的进程、权限边界与是否需要高权限执行。

数据访问需留意

其声明功能是“扫描固件、检查…”，通常意味着需要访问本机硬件/固件相关信息，可能涉及读取系统设备、固件版本或平台测量数据。材料未提供 README 与权限细节，暂未见明显过度授权证据，但访问范围不够透明。

来源供应链需留意

正面因素包括：官方 Registry 来源、开源仓库可审计、近一年有更新。需留意之处是 README 缺失、许可证未声明、社区采用度低（0 star），导致可审计上下文与外部验证不足；综合看更适合定为需留意而非高风险。

安全建议

部署前审查仓库源码与依赖清单，重点确认是否仅进行本地固件/平台信息读取。
在受限环境中运行，限制其对高权限设备接口、系统命令和敏感目录的访问。
通过抓包或主机审计验证实际无外联行为，避免材料与实现不一致。
优先等待补充 README、许可证和更清晰的权限说明后再扩大使用范围。

审计模型: gpt-5.4 · 2026-06-17

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "io.github.CSOAI-ORG/firmware-attestation-mcp" MCP 服务：
执行：claude mcp add io-github-csoai-org-firmware-attestation-mcp -- python firmware-attestation-mcp

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

前往源码仓库 ↗

// 功能相似

MCP 工具

io.github.CSOAI-ORG/trust-chain-mcp

用于创建信任锚、添加证明并验证信任链的安全工具

—装→

MCP 工具

io.github.fpetitit/mcpcheckup

扫描远程 MCP 服务器的协议、安全与 TLS 问题，帮助快速发现配置风险。

—装→

io.github.CSOAI-ORG/firmware-attestation-mcp

// 文档

// 功能相似

io.github.CSOAI-ORG/trust-chain-mcp

io.github.fpetitit/mcpcheckup

io.github.CSOAI-ORG/meok-mcp-injection-scan-mcp

io.github.CSOAI-ORG/meok-watermark-attest-mcp

mcpharden

io.github.eltociear/skill-audit-mcp