Claude后台藏了3个高危漏洞，开发者用Notion做了个自动

你的AI助手每天在你看不见的地方，握着你的文件系统和网络权限。Rodolfo Boctor数了数自己机器上的MCP服务器，发现10个里就有3个高危、9个中危——而他自己从来没查过。

这事像什么？像你家请了十个保姆，每个都有你家门钥匙和银行卡密码，但你从没问过她们晚上出门干什么。

从"终端一关就忘"到自动入库

Boctor的日常工位是Claude Desktop、Cursor、VS Code三件套。这些工具背后跑着MCP（模型上下文协议）服务器，负责给AI开各种权限：读文件、调API、执行命令。

问题在于，这些服务器的配置文件散落在各处，权限边界模糊得像外包公司的合同条款。Boctor的扫描结果显示：有个叫thynkq-router的服务器同时具备文件系统访问和外发网络调用——数据外泄的标准配置。另一个playwright服务器从非官方npm源拉取代码，而官方@modelcontextprotocol组织根本没认证过这个包。

「安全发现躺在终端里，窗口一关就消失。」Boctor在GitHub仓库里写道。他的解决方案分两步：先用mcp-scan做全身CT，再把结果自动推进Notion数据库，变成可跟踪的待办事项。

核心命令只有一行：

npx mcp-scan@latest --json | node notion-integration/push-to-notion.js

输出结果直接映射到Notion的字段：服务器名称、工具名称、配置文件路径、严重等级、修复建议。重复扫描时自动去重，不会制造垃圾条目。

Notion为什么比专用安全工具好用

Boctor的选择看起来反直觉——安全圈流行的是Splunk、Elastic、各种SIEM大屏。但他说得很直接：安全发现必须活在项目文档的上下文里，而不是另一个需要登录的孤岛系统。

他的Notion数据库设计了几个关键字段：严重等级（HIGH/MEDIUM/LOW）、修复建议、关联的配置文件路径。项目协作者不需要学新工具，打开Notion就能看到「playwright服务器正在从非认证源拉代码」，然后直接在当前页面讨论修复方案。

这种设计踩中了一个痛点：中小型团队的安全流程往往卡在"发现"和"修复"之间的断层。扫描工具一堆，但漏洞报告要么淹没在Slack频道，要么躺在某个开发者的终端历史记录里。

Boctor的机器上，mcp-scan跑出了8条有效发现，4个干净服务器被跳过。thynkq-router在Claude Code和Gemini CLI环境里各被标记一次，vercel和playwright的重复部署也被抓了出来。

MCP生态的权限暗角

模型上下文协议（MCP）是Anthropic去年推出的开放标准，目的是让AI助手能安全地连接外部数据源。标准本身没问题，但实现层面的松散性正在制造盲区。

Boctor发现的典型风险模式包括：权限过度授予（文件+网络双开）、供应链污染（非官方npm包）、重复部署导致的配置漂移。这些都不是理论攻击，是他自己机器上的实时发现。

更麻烦的是，MCP服务器的安装流程往往藏在AI工具的"一键连接"背后。用户点一下授权，就同时交出了文件读取、环境变量访问、网络请求三重权限。Boctor的扫描器要做的就是把这些隐性授权显性化，让你看清每个服务器到底能做什么。

他的实现代码很直白：用Node.js读取标准输入的JSON，调Notion客户端API逐条创建页面。去重逻辑靠查询现有数据库条目，匹配服务器名称+发现ID的组合键。没有复杂的机器学习，没有实时威胁情报——就是把你本该知道但不知道的事情，摊在一张能协作的桌子上。

一个产品经理式的安全方案

Boctor的背景是产品经理，这解释了为什么他的解决方案带着明显的"用户路径"思维。不是造一个更强大的扫描引擎，而是解决"发现之后怎么办"的 workflow 断点。

终端输出适合一次性查看，不适合持续跟踪。Notion数据库适合跟踪，但手动录入容易遗漏。他的管道把两者串起来，让安全审查变成可重复、可协作、可沉淀的日常动作。

GitHub仓库里，他放了一个最小可运行的集成示例。核心依赖只有@notionhq/client，环境变量配置NOTION_API_KEY和NOTION_DATABASE_ID即可。代码不到100行，没有构建步骤，直接node运行。

这种轻量感是有意为之。MCP生态还在快速迭代，今天的扫描规则明天可能过时。Boctor把重点放在可扩展的管道架构上，具体的检测逻辑可以随社区知识更新。

目前mcp-scan已经能识别几类常见问题：外泄向量（同时具备文件和网络权限）、未经验证的代码源、重复服务器部署、未知的数据共享行为。Boctor在自己的10个服务器里找到了8个有效问题，这个比例本身就说明MCP配置的混乱程度。

他最后更新仓库时，留下了这个待办：当MCP服务器数量从10个涨到100个时，这个手动审查模式还能撑多久？