Luvv-MCP 是一个 AI 原生的前端安全分析引擎,接入 Claude Code 后,你说一句"帮我审计这个网站",AI 就能自动完成技术栈识别(1.8 万条规则覆盖 CMS/框架/CDN/中间件)、泄露扫描(阿里云 AK、GitHub Token、Webhook、JWT 等 60+ 类敏感信息)、漏洞审计(XSS、开放重定向、CSRF、IDOR、硬编码密码 6 类自动检测)、产品指纹识别(HTTP 响应头/Body/Favicon Hash 多维匹配),还能自动发现 SourceMap 并还原混淆源码。核心价值:把 SRC 挖洞和授权渗透中"人工看 JS 源码找漏洞"的环节从 30 分钟压缩到 30 秒,一行 JSON 配置即可使用。
Luvv-MCP
AI 原生的前端安全分析引擎。接入 Claude Code 后,说一句"帮我审计这个网站",AI 自动完成技术栈识别、泄露扫描、漏洞审计、产品指纹识别和代码资产采集。
基于 AegisScope 检测引擎剥离 UI、包装 MCP 协议而成。7,183 条嗅探规则 + 11,596 条指纹规则 + 60+ 条泄露规则。
安装
git clone git@github.com:Dest1ny-Sec/Luvv-MCP.git
cd Luvv-MCP
npm install
npm install playwright && npx playwright install chromium # 可选
接入 Claude Code
在 ~/.claude.json 的 mcpServers 中添加:
"luvv-mcp": {
"command": "node",
"args": ["/path/to/Luvv-MCP/src/index.js"]
}
重启 Claude Code。MCP 面板显示 luvv-mcp · connected · 5 tools。
使用
自然语言即可,AI 自动选工具:
| 你说 | AI 调用 |
|------|---------|
| "看看 example.com 用了什么技术栈" | luvv_site_sniff |
| "扫描这段 JS 有没有泄露密钥" | luvv_leak_scan |
| "审计 target.com 的前端安全漏洞" | luvv_vuln_audit |
| "识别这个服务器的产品指纹" | luvv_fingerprint_scan |
| "列出页面所有 JS 资源" | luvv_collect_assets |
推荐组合:site_sniff → collect_assets → vuln_audit → leak_scan
五个工具
| 工具 | 功能 | 规则量 |
|------|------|:---:|
| luvv_site_sniff | 技术栈识别:CMS/框架/JS库/CDN/安全头 | 7,183 |
| luvv_leak_scan | 泄露扫描:AK/SK/Token/Webhook/JWT/PII | 60+ |
| luvv_vuln_audit | 漏洞审计:XSS/重定向/CSRF/IDOR/硬编码 | 6 类 |
| luvv_fingerprint_scan | 指纹识别:服务器/中间件/OA/网络设备 | 11,596 |
| luvv_collect_assets | 代码采集:JS + SourceMap 自动还原 | — |
依赖
Node.js ≥18,Playwright 可选(source 模式不需要浏览器)。
致谢
检测引擎移植自 AegisScope,感谢原作者 农夫三拳。
License
MIT