$ loading_
连接 GitLab 项目与协作流程,统一管理代码、合并请求、议题与流水线。
该 MCP 工具面向 GitLab 项目与协作资源,属于需要凭证并会访问远程 GitLab API 的常规集成型工具。来源较可信且开源可审计,当前未见明确恶意红旗,但因具备代码执行、可选写操作及可配置 TLS 行为,整体建议按 caution 使用。
需要 GITLAB_PERSONAL_ACCESS_TOKEN、GITLAB_JOB_TOKEN 或认证 Cookie 路径等敏感凭证/认证材料;这些凭证通常可代表用户或作业访问 GitLab 资源,泄露后可能导致项目、MR、Issue、Pipeline 等被读取或操作。凭证需求与工具功能匹配,属常规风险,但应最小权限配置。
虽未给出固定远程 host,但通过 GITLAB_API_URL 可连接到配置的 GitLab API,并将查询内容、项目元数据及操作请求发送到该端点。该外发目标与声明功能相关,属常规集成行为;但若设置 NODE_TLS_REJECT_UNAUTHORIZED 关闭证书校验,会降低传输安全性。
系统检查项标明其会执行代码/起进程;这对 MCP 工具而言属于常规能力,但意味着本机运行其 Node 侧逻辑并处理外部输入。材料未显示其申请与 GitLab 集成无关的额外系统权限,因此目前更适合定为 caution 而非 risk。
按描述可访问 GitLab 的 projects、merge requests、issues、pipelines、wiki、releases 等资源,且存在 GITLAB_READ_ONLY_MODE、GITLAB_ALLOWED_PROJECT_IDS、工具白/黑名单等限制项,说明默认能力可能包含非只读操作但可收敛范围。对本地数据访问目前主要体现为读取认证 Cookie 与 CA 证书路径,未见明显超范围本地文件权限描述。
来源为官方 Registry,且有公开 GitHub 仓库、近一年内更新,具备开源可审计和一定维护活跃度,这些都明显降低了供应链风险。需留意的是 README 缺失、许可证未声明、社区 star 为 0,透明度与外部验证度有限,因此定为 caution 更稳妥。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "io.github.zereight/gitlab-mcp" MCP 服务: 执行:claude mcp add io-github-zereight-gitlab-mcp -- npx -y @zereight/mcp-gitlab
连接 GitLab 完成项目、合并请求、流水线等开发运维操作