$ loading_
解析 dbt 元数据与质量结果,帮助快速检查模型运行、来源与数据质量状态。
该 MCP 工具来自官方 Registry 且开源、近期有维护,整体供应链可信度较好。其主要风险面来自本地执行 dbt 相关操作、访问项目与结果目录,以及可使用云/数据库凭证读写 BigQuery 或 Postgres,依据材料更适合评为需留意而非高风险。
材料显示需要多项环境变量,其中 GOOGLE_APPLICATION_CREDENTIALS 与 PG_CONNECTION_STRING 属于敏感凭证,BQ_PROJECT_ID 及若干 DQ/DBT 配置变量也可能暴露数据环境信息;若日志、配置文件或进程环境管理不当,存在凭证泄露或被误用的常规风险,但未见超出声明用途的凭证申请。
远程端点栏为空,未声明固定第三方外发端点;但工具描述明确涉及 BigQuery/Postgres 的 DQ 结果表,结合 Google 凭证和 PostgreSQL 连接串,可推断会向用户自配的数据后端发送查询或结果数据。该外发与声明功能相关,未见向不明或无关端点传输的红旗。
系统检查项标记为 executes-code,且存在 DBT_TOOLS、DBT_ALLOW_WRITE、DBT_DISABLE 等运行控制变量,说明工具很可能在本机执行 dbt 或相关辅助命令。此类本地进程启动属于 MCP 工具常规能力;当前材料未显示申请异常系统权限或执行与 dbt 无关的高危操作。
根据 DBT_PROJECT_DIR、DBT_TARGET_DIR、DBT_RUN_HISTORY_DIR、DBT_SLA_CONFIG_PATH 等变量,工具可读取 dbt 项目、target 产物、运行历史与配置文件,并可能在启用 DBT_ALLOW_WRITE 时写入部分本地文件或结果表。该访问范围与 manifest/run_results/catalog 解析及 DQ 记录功能一致,未见明显超范围授权,但应注意最小权限配置。
来源为官方 Registry,且有公开 GitHub 仓库、开源可审计,并在近一年内有更新;这些都是明显的正面信号。社区 star 数较低意味着外部验证有限,但基于官方来源与开源属性,供应链维度整体可评为低风险。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.us-all/dbt" MCP 服务: 执行:claude mcp add io-github-us-all-dbt -- npx -y @us-all/dbt-mcp
通过 MCP 连接并操作 dbt,帮助用户查询项目、运行模型与管理数据转换流程。