$ loading_
连接 GitLab API,统一管理项目、合并请求、流水线与代码评审流程。
该 MCP 工具主要作为 GitLab API 的桥接层,已知需要 GitLab 访问令牌并会与配置的 GitLab 实例交互。基于官方 Registry、开源且近期有更新,整体更接近常规可控风险,但仍需关注令牌权限、只读配置及实际代码行为。
材料显示需要 GITLAB_TOKEN、GITLAB_URL、GITLAB_READ_ONLY。其中 GITLAB_TOKEN 属于敏感凭证,若泄露可能按其授权范围访问或修改 GitLab 项目、MR、CI/CD、审批与议题;GITLAB_READ_ONLY 仅是限制性配置,不能替代最小权限令牌。
虽未给出固定远程 host,但该工具声明为 GitLab API 服务器,并通过 GITLAB_URL 指向目标 GitLab 实例,因此会向用户配置的 GitLab 端点发送请求并传输相关仓库/工单/流水线数据。当前未见将数据外发到无关第三方端点的明确红旗。
系统检查项标明该工具会执行代码/起进程,这属于 MCP 工具的常规运行特征。现有材料未显示其申请异常系统权限或执行与 GitLab 集成明显无关的高危操作,因此以需留意处理。
按描述,该工具可访问 GitLab 中的 projects、MRs、pipelines、CI/CD、approvals、issues 和 code review 数据;若令牌具备写权限,理论上也可能触发相应修改。材料未说明会读写本地文件,当前主要数据访问面应集中在 GitLab 资源本身,是否过度授权取决于令牌范围与只读设置。
正面证据包括:来自官方 Registry、开源可审计、近一年内有更新。需留意的是 README 缺失、许可证未声明、社区采用度很低(0 star),这会降低可审计便利性与生态验证强度;但基于现有事实,尚不足以单独判为高风险。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.vish288/mcp-gitlab" MCP 服务: 执行:claude mcp add io-github-vish288-mcp-gitlab -- npx -y mcp-gitlab
请连接 GitLab,列出仓库 my-group/my-project 最近 10 个打开的合并请求,包含负责人、审批状态、CI 结果和待处理评论。
返回合并请求清单,汇总负责人、审批进度、流水线状态及需要跟进的问题。
请查看项目 my-group/my-project 最近 5 次失败的流水线,找出失败的 job、错误日志摘要,并按优先级给出修复建议。
输出失败流水线分析报告,包含关键报错、受影响阶段和修复建议。
请汇总项目 my-group/my-project 当前高优先级 issues、待审批的合并请求,以及本周 CI/CD 执行概况,生成团队周报。
生成一份周报,概述问题进展、审批堵点和 CI/CD 运行情况。
通过 MCP 直接操作 GitLab 的合并请求、流水线与作业,提升开发协作效率。