mcp-probe-kit 1.4.0 → 1.7.0

package/build/tools/security_scan.js

@@ -0,0 +1,282 @@
+/**
+ * security_scan 工具
+ *
+ * 功能：代码安全扫描，检测常见漏洞和不安全编码实践
+ * 模式：指令生成器模式 - 返回安全检查指南，由 AI 执行实际分析
+ */
+const PROMPT_TEMPLATE = `# 安全扫描指南
+
+## 🎯 扫描目标
+
+**扫描类型**: {scan_type}
+**编程语言**: {language}
+
+**待扫描代码**:
+\`\`\`{language}
+{code}
+\`\`\`
+
+---
+
+## 📋 安全检查清单
+
+### 1. 注入类漏洞 (Injection)
+
+#### 1.1 SQL 注入 (CWE-89)
+- [ ] 检查是否使用字符串拼接构建 SQL
+- [ ] 检查是否使用参数化查询/预编译语句
+- [ ] 检查 ORM 是否正确使用
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+query = "SELECT * FROM users WHERE id = " + userId
+db.query(\`SELECT * FROM users WHERE name = '\${name}'\`)
+
+// ✅ 安全
+query = "SELECT * FROM users WHERE id = ?"
+db.query("SELECT * FROM users WHERE name = $1", [name])
+\`\`\`
+
+#### 1.2 XSS 跨站脚本 (CWE-79)
+- [ ] 检查用户输入是否直接输出到 HTML
+- [ ] 检查是否使用 innerHTML/dangerouslySetInnerHTML
+- [ ] 检查是否正确转义特殊字符
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+element.innerHTML = userInput
+<div dangerouslySetInnerHTML={{__html: userContent}} />
+
+// ✅ 安全
+element.textContent = userInput
+使用 DOMPurify 等库清理 HTML
+\`\`\`
+
+#### 1.3 命令注入 (CWE-78)
+- [ ] 检查 exec/spawn/system 是否拼接用户输入
+- [ ] 检查是否使用白名单验证
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+exec("ls " + userPath)
+child_process.exec(\`git clone \${repoUrl}\`)
+
+// ✅ 安全
+execFile("ls", [userPath])
+使用白名单验证输入
+\`\`\`
+
+#### 1.4 路径遍历 (CWE-22)
+- [ ] 检查文件路径是否包含用户输入
+- [ ] 检查是否验证路径在允许范围内
+
+---
+
+### 2. 认证授权问题 (Authentication & Authorization)
+
+#### 2.1 硬编码凭证 (CWE-798)
+- [ ] 搜索: password, secret, key, token, api_key
+- [ ] 检查配置文件中的明文密码
+- [ ] 检查注释中的凭证信息
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+const password = "admin123"
+const apiKey = "sk-xxxxxxxxxxxx"
+// TODO: 临时密码 test123
+
+// ✅ 安全
+const password = process.env.DB_PASSWORD
+const apiKey = config.get("apiKey")
+\`\`\`
+
+#### 2.2 弱认证 (CWE-287)
+- [ ] 检查密码强度验证
+- [ ] 检查是否有暴力破解防护
+- [ ] 检查 Session 管理
+
+#### 2.3 权限检查缺失 (CWE-862)
+- [ ] 检查敏感操作是否验证权限
+- [ ] 检查是否存在越权访问风险
+
+---
+
+### 3. 加密安全问题 (Cryptography)
+
+#### 3.1 弱哈希算法 (CWE-328)
+- [ ] 检查是否使用 MD5/SHA1 存储密码
+- [ ] 检查是否使用适当的密码哈希（bcrypt, argon2）
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+crypto.createHash('md5').update(password)
+crypto.createHash('sha1').update(password)
+
+// ✅ 安全
+bcrypt.hash(password, saltRounds)
+argon2.hash(password)
+\`\`\`
+
+#### 3.2 不安全随机数 (CWE-330)
+- [ ] 检查安全相关场景是否使用 Math.random()
+- [ ] 检查是否使用加密安全的随机数生成器
+
+**危险模式**:
+\`\`\`
+// ❌ 危险（用于安全场景）
+const token = Math.random().toString(36)
+
+// ✅ 安全
+const token = crypto.randomBytes(32).toString('hex')
+\`\`\`
+
+#### 3.3 弱加密算法 (CWE-327)
+- [ ] 检查是否使用 DES/3DES/RC4
+- [ ] 检查 AES 是否使用安全模式（GCM）
+
+---
+
+### 4. 敏感数据泄露 (Sensitive Data Exposure)
+
+#### 4.1 日志泄露 (CWE-532)
+- [ ] 检查日志是否包含密码、token、个人信息
+- [ ] 检查错误日志是否泄露敏感信息
+
+**危险模式**:
+\`\`\`
+// ❌ 危险
+console.log("User login:", { username, password })
+logger.info("API call with token:", apiToken)
+
+// ✅ 安全
+console.log("User login:", { username, password: "***" })
+logger.info("API call with token:", maskToken(apiToken))
+\`\`\`
+
+#### 4.2 错误信息泄露 (CWE-209)
+- [ ] 检查是否向用户返回详细错误信息
+- [ ] 检查是否暴露堆栈跟踪
+
+#### 4.3 注释中的敏感信息
+- [ ] 检查注释中是否包含密码、密钥
+- [ ] 检查 TODO/FIXME 中的敏感信息
+
+---
+
+### 5. 其他安全问题
+
+#### 5.1 不安全的依赖
+- [ ] 检查是否使用已知漏洞的依赖版本
+
+#### 5.2 CORS 配置
+- [ ] 检查是否使用 Access-Control-Allow-Origin: *
+
+#### 5.3 不安全的反序列化 (CWE-502)
+- [ ] 检查是否反序列化不可信数据
+
+---
+
+## 📊 报告模板
+
+### 漏洞摘要
+
+| 严重程度 | 数量 | 说明 |
+|----------|------|------|
+| 🔴 Critical | 0 | 需立即修复 |
+| 🟠 High | 0 | 尽快修复 |
+| 🟡 Medium | 0 | 计划修复 |
+| 🔵 Low | 0 | 建议修复 |
+| ⚪ Info | 0 | 仅供参考 |
+
+### 漏洞详情
+
+#### [漏洞编号] 漏洞名称
+
+| 属性 | 值 |
+|------|-----|
+| 严重程度 | 🔴 Critical / 🟠 High / 🟡 Medium / 🔵 Low |
+| CWE | CWE-XXX |
+| 位置 | 第 X 行 |
+| 置信度 | 高 / 中 / 低 |
+
+**问题代码**:
+\`\`\`
+[问题代码片段]
+\`\`\`
+
+**问题描述**: [描述安全风险]
+
+**修复建议**:
+\`\`\`
+[修复后的代码]
+\`\`\`
+
+---
+
+### 安全最佳实践建议
+
+1. **输入验证**: 对所有用户输入进行验证和清理
+2. **输出编码**: 根据上下文正确编码输出
+3. **参数化查询**: 使用参数化查询防止注入
+4. **最小权限**: 遵循最小权限原则
+5. **安全配置**: 使用安全的默认配置
+6. **依赖管理**: 定期更新依赖，修复已知漏洞
+7. **日志安全**: 不记录敏感信息
+8. **错误处理**: 不向用户暴露内部错误详情
+
+---
+
+## ✅ 扫描检查清单
+
+- [ ] 注入类漏洞已检查
+- [ ] 认证授权问题已检查
+- [ ] 加密安全问题已检查
+- [ ] 敏感数据泄露已检查
+- [ ] 其他安全问题已检查
+- [ ] 漏洞报告已生成
+- [ ] 修复建议已提供
+
+---
+
+*指南版本: 1.0.0*
+*工具: MCP Probe Kit - security_scan*
+`;
+/**
+ * security_scan 工具实现
+ */
+export async function securityScan(args) {
+    try {
+        const code = args?.code;
+        if (!code) {
+            throw new Error("缺少必填参数: code（需要扫描的代码）");
+        }
+        const language = args?.language || "auto";
+        const scanType = args?.scan_type || "all";
+        const scanTypeDesc = {
+            all: "全面扫描（注入、认证、加密、敏感数据）",
+            injection: "注入类漏洞（SQL注入、XSS、命令注入）",
+            auth: "认证授权问题",
+            crypto: "加密安全问题",
+            sensitive_data: "敏感数据泄露",
+        };
+        const guide = PROMPT_TEMPLATE
+            .replace(/{code}/g, code)
+            .replace(/{language}/g, language)
+            .replace(/{scan_type}/g, scanTypeDesc[scanType] || scanType);
+        return {
+            content: [{ type: "text", text: guide }],
+        };
+    }
+    catch (error) {
+        const errorMsg = error instanceof Error ? error.message : String(error);
+        return {
+            content: [{ type: "text", text: `❌ 安全扫描失败: ${errorMsg}` }],
+            isError: true,
+        };
+    }
+}

package/build/tools/start_api.d.ts

@@ -0,0 +1,19 @@
+/**
+ * start_api 智能编排工具
+ *
+ * 场景：API 开发
+ * 编排：[检查上下文] → genapi → gen_mock → gentest
+ */
+export declare function startApi(args: any): Promise<{
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError?: undefined;
+} | {
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError: boolean;
+}>;

package/build/tools/start_api.js

@@ -0,0 +1,178 @@
+/**
+ * start_api 智能编排工具
+ *
+ * 场景：API 开发
+ * 编排：[检查上下文] → genapi → gen_mock → gentest
+ */
+const PROMPT_TEMPLATE = `# 🔌 API 开发编排指南
+
+## 🎯 目标
+
+为以下 API 代码生成完整的开发资料：
+
+\`\`\`{language}
+{code}
+\`\`\`
+
+---
+
+## 📋 步骤 0: 项目上下文（自动处理）
+
+**操作**:
+1. 检查 \`docs/project-context.md\` 是否存在
+2. **如果不存在**：
+   - 调用 \`init_project_context\` 工具
+   - 等待生成完成
+3. **读取** \`docs/project-context.md\` 内容
+4. 了解项目的 API 规范、测试框架
+
+---
+
+## 📝 步骤 1: 生成 API 文档
+
+**调用工具**: \`genapi\`
+
+**参数**:
+\`\`\`json
+{
+  "code": "[API 代码]",
+  "format": "{format}"
+}
+\`\`\`
+
+**生成内容**:
+- API 端点列表
+- 请求/响应格式
+- 参数说明
+- 示例
+
+**产出**: API 文档（Markdown/OpenAPI/JSDoc）
+
+---
+
+## 🎭 步骤 2: 生成 Mock 数据
+
+**调用工具**: \`gen_mock\`
+
+**参数**:
+\`\`\`json
+{
+  "schema": "[从 API 代码中提取的数据结构]",
+  "count": 5,
+  "format": "json",
+  "locale": "zh-CN"
+}
+\`\`\`
+
+**生成内容**:
+- 请求示例数据
+- 响应示例数据
+- 各种场景的测试数据
+
+**产出**: Mock 数据文件
+
+---
+
+## 🧪 步骤 3: 生成 API 测试
+
+**调用工具**: \`gentest\`
+
+**参数**:
+\`\`\`json
+{
+  "code": "[API 代码]",
+  "framework": "[根据项目上下文选择]"
+}
+\`\`\`
+
+**生成内容**:
+- 单元测试
+- 集成测试
+- 边界情况测试
+- 错误处理测试
+
+**产出**: 测试代码
+
+---
+
+## ✅ 完成检查
+
+- [ ] 项目上下文已读取
+- [ ] API 文档已生成
+- [ ] Mock 数据已生成
+- [ ] 测试代码已生成
+
+---
+
+## 📊 输出汇总
+
+完成后，向用户提供：
+
+### 1. API 文档
+
+\`\`\`markdown
+## API 端点
+
+### [METHOD] /path
+
+**描述**: ...
+
+**请求参数**:
+| 参数 | 类型 | 必填 | 说明 |
+|------|------|------|------|
+
+**响应**:
+\`\`\`json
+{
+  "code": 0,
+  "data": {}
+}
+\`\`\`
+\`\`\`
+
+### 2. Mock 数据
+
+\`\`\`json
+[Mock 数据示例]
+\`\`\`
+
+### 3. 测试代码
+
+\`\`\`typescript
+[测试代码]
+\`\`\`
+
+### 4. 使用建议
+
+- Mock 数据可用于前端开发联调
+- 测试代码可直接运行验证 API
+- API 文档可分享给前端/调用方
+
+---
+
+*编排工具: MCP Probe Kit - start_api*
+`;
+export async function startApi(args) {
+    try {
+        const code = args?.code;
+        if (!code) {
+            throw new Error("缺少必填参数: code（API 代码）");
+        }
+        const language = args?.language || "typescript";
+        const format = args?.format || "markdown";
+        const guide = PROMPT_TEMPLATE
+            .replace(/{code}/g, code)
+            .replace(/{language}/g, language)
+            .replace(/{format}/g, format);
+        return {
+            content: [{ type: "text", text: guide }],
+        };
+    }
+    catch (error) {
+        const errorMsg = error instanceof Error ? error.message : String(error);
+        return {
+            content: [{ type: "text", text: `❌ 编排执行失败: ${errorMsg}` }],
+            isError: true,
+        };
+    }
+}

package/build/tools/start_bugfix.d.ts

@@ -0,0 +1,19 @@
+/**
+ * start_bugfix 智能编排工具
+ *
+ * 场景：修复 Bug
+ * 编排：[检查上下文] → fix_bug → gentest
+ */
+export declare function startBugfix(args: any): Promise<{
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError?: undefined;
+} | {
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError: boolean;
+}>;

package/build/tools/start_bugfix.js

@@ -0,0 +1,127 @@
+/**
+ * start_bugfix 智能编排工具
+ *
+ * 场景：修复 Bug
+ * 编排：[检查上下文] → fix_bug → gentest
+ */
+const PROMPT_TEMPLATE = `# 🐛 Bug 修复编排指南
+
+## 🎯 目标
+
+修复以下 Bug：
+
+**错误信息**:
+\`\`\`
+{error_message}
+\`\`\`
+
+{stack_trace_section}
+
+---
+
+## 📋 步骤 0: 项目上下文（自动处理）
+
+**操作**:
+1. 检查 \`docs/project-context.md\` 是否存在
+2. **如果不存在**：
+   - 调用 \`init_project_context\` 工具
+   - 等待生成完成
+3. **读取** \`docs/project-context.md\` 内容
+4. 了解项目的技术栈、架构、测试框架
+5. 后续步骤参考此上下文
+
+---
+
+## 🔍 步骤 1: Bug 分析与修复
+
+**调用工具**: \`fix_bug\`
+
+**参数**:
+\`\`\`json
+{
+  "error_message": "{error_message}",
+  "stack_trace": "{stack_trace}"
+}
+\`\`\`
+
+**执行要点**:
+1. 按指南完成问题定位
+2. 使用 5 Whys 分析根本原因
+3. 设计修复方案
+4. 实施代码修复
+
+**产出**: 修复后的代码
+
+---
+
+## 🧪 步骤 2: 生成回归测试
+
+**调用工具**: \`gentest\`
+
+**参数**:
+\`\`\`json
+{
+  "code": "[修复后的代码]",
+  "framework": "[根据项目上下文选择: jest/vitest/mocha]"
+}
+\`\`\`
+
+**执行要点**:
+1. 为修复的代码生成测试
+2. 包含 Bug 场景的测试用例
+3. 包含边界情况测试
+
+**产出**: 测试代码
+
+---
+
+## ✅ 完成检查
+
+- [ ] 项目上下文已读取
+- [ ] Bug 已定位
+- [ ] 根本原因已分析
+- [ ] 代码已修复
+- [ ] 测试已添加
+- [ ] 测试已通过
+
+---
+
+## 📝 输出汇总
+
+完成后，向用户汇总：
+
+1. **Bug 原因**: [根本原因]
+2. **修复方案**: [修复说明]
+3. **修改文件**: [文件列表]
+4. **测试覆盖**: [测试情况]
+
+---
+
+*编排工具: MCP Probe Kit - start_bugfix*
+`;
+export async function startBugfix(args) {
+    try {
+        const errorMessage = args?.error_message;
+        if (!errorMessage) {
+            throw new Error("缺少必填参数: error_message（错误信息）");
+        }
+        const stackTrace = args?.stack_trace || "";
+        const stackTraceSection = stackTrace
+            ? `**堆栈跟踪**:\n\`\`\`\n${stackTrace}\n\`\`\``
+            : "";
+        const guide = PROMPT_TEMPLATE
+            .replace(/{error_message}/g, errorMessage)
+            .replace(/{stack_trace}/g, stackTrace)
+            .replace(/{stack_trace_section}/g, stackTraceSection);
+        return {
+            content: [{ type: "text", text: guide }],
+        };
+    }
+    catch (error) {
+        const errorMsg = error instanceof Error ? error.message : String(error);
+        return {
+            content: [{ type: "text", text: `❌ 编排执行失败: ${errorMsg}` }],
+            isError: true,
+        };
+    }
+}

package/build/tools/start_doc.d.ts

@@ -0,0 +1,19 @@
+/**
+ * start_doc 智能编排工具
+ *
+ * 场景：文档生成
+ * 编排：[检查上下文] → gendoc → genreadme → genapi
+ */
+export declare function startDoc(args: any): Promise<{
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError?: undefined;
+} | {
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError: boolean;
+}>;