$ loading_
帮助你查询GA4数据、检查GTM配置并安全审计变更
该 MCP 工具来自官方 Registry 且开源,可降低整体风险;但其依赖 Google OAuth,并可在开启开关后对 GTM 进行写入、发布和删除操作,因此整体为需留意而非高风险。
需要 GOOGLE_OAUTH_CLIENT_ID 与 GOOGLE_OAUTH_CLIENT_SECRET,属于敏感 OAuth 凭证;若泄露,可能被用于访问关联的 Google Tag Manager/GA4 资源。另有 GTM_MCP_ENABLE_WRITES、GTM_MCP_ENABLE_PUBLISH、GTM_MCP_ENABLE_DELETES 等能力开关,虽非密钥,但会显著影响可执行操作范围。
材料未列出自定义远程 host,未见向不明第三方端点外发的证据;但按其声明功能与 OAuth 设计,预期会与 Google 相关服务通信并传输 GTM/GA4 账户数据。这属于该类工具的常规联网能力,当前未见无关外发红旗。
系统检查项表明该工具会执行代码/起本地进程,这是 MCP 工具的常规运行方式。材料未显示其申请异常系统权限,也未见执行与声明功能无关命令的迹象,因此应归为需留意而非高风险。
描述称其对 GA4 为只读、对 GTM 默认只读,但可通过环境变量开启写入、发布、删除,因此其数据访问范围不仅限读取,还可能修改生产配置。未见要求广泛本地文件访问的说明;主要风险在于对 Google 分析/标签资源的账户级操作权限。
正面因素包括:官方 Registry 来源、开源仓库可审计、近一年有更新,这些均明显降低风险。需留意之处是社区采用度很低(0 star)且许可证未声明,降低了外部审查与复用透明度;但基于现有材料,尚不足以定为高风险供应链。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.samarthanalytics-sj/samarth-gtm-mcp" MCP 服务: 执行:claude mcp add io-github-samarthanalytics-sj-samarth-gtm-mcp -- npx -y samarth-gtm-mcp
请使用该 MCP 工具查看最近7天 GA4 的访问量、来源渠道和转化变化,并用中文总结异常点。
输出最近7天流量、渠道和转化的简要分析结论。
请检查当前 Google Tag Manager 中与转化相关的标签、触发器和变量,列出可能的问题与缺失项。
输出GTM配置审查结果和可疑配置项。
请基于当前配置,给出一个需要审计的 GTM 变更建议清单,并说明每项变更的风险与验证方式。
输出可审核的变更建议、风险说明和验证步骤。
连接 GSC、Bing 与 GA4,统一获取网站分析、健康检查和 SEO 洞察。