MCP-Sicherheitsscanner — Schwachstellen-Scanning für KI-Agenten
Vulny ist ein MCP-Sicherheitsscanner: Geben Sie Ihrem KI-Agenten die Möglichkeit, echte Schwachstellen-Scans über das Model Context Protocol (MCP) durchzuführen. Agenten in Claude, Cursor und anderen MCP-kompatiblen Clients können die Ihnen gehörenden Domains und IPs scannen und priorisierte, CVE-abgeglichene Ergebnisse zurückgeben — abgerechnet pro Scan mit Prepaid-Guthaben. Kein Dashboard, keine Kontoeinrichtung: Der Agent erledigt alles über wenige Tools.
Verbinden Sie Ihren Agenten (MCP)
Fügen Sie den Vulny MCP-Server zu einem beliebigen MCP-kompatiblen Client hinzu und authentifizieren Sie sich mit Ihrem API-Schlüssel:
MCP endpoint: https://agent-api.vulny.app/mcp Authorization: Bearer vlna_your_key
Um einen Schlüssel zu erhalten, ruft Ihr Agent das register-Tool mit Ihrer Firmen-E-Mail auf; Vulny sendet einen einmaligen Link per E-Mail, der den Schlüssel anzeigt. Dieselben Tools sind auch als einfache REST API auf demselben Host verfügbar, falls Sie rohes HTTP bevorzugen.
Skill-Dateien und Installationsdokumente (SKILL.md, README) sind Open Source auf GitHub: github.com/vulny-app/vulny-agent-scan.
Was Ihr Agent tun kann
Der Server stellt eine kleine Reihe von Tools bereit, die der Agent direkt aufruft — er folgt dem von run_scan zurückgegebenen Status, bis ein Scan startet:
run_scan(target)— startet einen Scan; führt den Agenten durch Domain-Verifizierung und Zahlung und gibt dann eine Scan-ID zurückget_scan_status(scan_id)— fragt den Fortschritt durch jede Phase ab (Ports → Web → API-Erkennung)get_scan_report(scan_id, format)— ruft Befunde als Farbtabelle, JSON oder PDF abbuy_credits(package)— kauft ein Guthabenpaket im Voraus (gibt einen Stripe-Checkout-Link zurück)get_balance()— verbleibendes Guthaben und verifizierte Domainsregister/recover_key— Ihren API-Schlüssel per E-Mail erhalten oder rotieren
Sie können nur scannen, was Ihnen gehört
Vor dem ersten Scan einer Domain verifiziert Vulny, dass Sie sie kontrollieren — per DNS-TXT-Eintrag, einer /.well-known/vulny.txt-Datei oder einem einmaligen Link, der an eine Adresse auf dieser Domain gesendet wird. Ihre Konto-E-Mail muss mit der zu scannenden Domain übereinstimmen, und öffentliche E-Mail-Anbieter werden abgelehnt. IP-Scans sind nur nach Verifizierung der zugehörigen Domain zulässig.
Scans sind nicht-destruktiv. Sie dürfen nur Assets scannen, die Ihnen gehören oder für deren Test Sie autorisiert sind — siehe unsere Nutzungsbedingungen und Richtlinie zur akzeptablen Nutzung.
Preise — 1 Guthaben = 1 Scan
Guthaben werden im Voraus bezahlt und ein Guthaben führt einen vollständigen Scan aus. Größere Pakete kosten weit weniger pro Scan:
- Single — 1 Scan — €159
- Starter — 10 Scans — €299
- Pro — 50 Scans — €499
- Business — 100 Scans — €699
- Enterprise — 500 Scans — €1,599
Was ein Scan findet
Jeder Scan kartiert offene Ports und laufende Dienste, gleicht sie mit einer Erkennungsdatenbank mit über 357.755 Schwachstellentests ab — angereichert mit CVSS-Schweregrad, CISA KEV (bekannt ausgenutzt) und EPSS-Exploit-Wahrscheinlichkeit — und testet Web-Apps und APIs auf Probleme der OWASP-Klasse, exponierte Dateien, Shadow-Endpunkte und schwache TLS. Die Befunde kommen nach realem Risiko priorisiert zurück.
Die Zahlung wird über Stripe abgewickelt; eine gespeicherte Karte ermöglicht es Ihrem Agenten, automatisch aufzuladen, wenn das Guthaben aufgebraucht ist. Ein Guthaben wird erstattet, wenn ein Scan auf unserer Seite fehlschlägt. Bevorzugen Sie CI/CD oder rohes HTTP? Siehe die API-Dokumentation und die DevSecOps-Pipeline.
Häufig gestellte Fragen
Was ist MCP-Schwachstellen-Scanning?
MCP (Model Context Protocol) ist ein offener Standard zum Verbinden von Tools mit KI-Agenten. Vulny betreibt einen MCP-Server, sodass ein LLM-Agent einen echten Schwachstellen-Scan starten, dessen Fortschritt verfolgen und einen Bericht abrufen kann, ohne die Konversation zu verlassen. Sie verbinden ihn einmal mit einem API-Schlüssel und der Agent ruft die Scan-Tools direkt auf.
Wie füge ich Vulny-Scanning zu meinem Claude- oder Cursor-Agenten hinzu?
Fügen Sie die MCP-Server-URL https://agent-api.vulny.app/mcp zu Ihrem MCP-kompatiblen Client hinzu und setzen Sie einen Authorization: Bearer-Header mit Ihrem API-Schlüssel. Um einen Schlüssel zu erhalten, ruft der Agent das register-Tool mit Ihrer Firmen-E-Mail auf und Sie öffnen den einmaligen Link, den Vulny Ihnen sendet.
Wie viel kostet ein Agenten-Scan?
Scans nutzen vorausbezahlte Guthaben, wobei 1 Guthaben = 1 Scan. Ein einzelner Scan kostet €159, und größere Pakete sind pro Scan günstiger: 10 Scans für €299, 50 Scans für €499, 100 Scans für €699, 500 Scans für €1,599. Die Zahlung erfolgt über Stripe und eine gespeicherte Karte kann automatisch aufladen.
Kann ein KI-Agent jede beliebige Website scannen?
Nein. Sie können nur Domains und IPs scannen, die Ihnen gehören oder für deren Test Sie autorisiert sind. Vulny verifiziert den Domain-Besitz einmal — per DNS-TXT-Eintrag, einer /.well-known/vulny.txt-Datei oder einem per E-Mail gesendeten Link — verlangt, dass Ihre Konto-E-Mail mit der Domain übereinstimmt, und lehnt öffentliche E-Mail-Anbieter ab. IP-Scans benötigen zuerst eine verifizierte zugehörige Domain.
Was erkennt ein Agenten-Scan?
Offene Ports und Dienstversionen, abgeglichen mit über 357.755 Schwachstellentests, angereichert mit CVSS, CISA KEV und EPSS, sowie Web- und API-Tests auf Probleme der OWASP-Klasse, exponierte Dateien, Shadow-APIs und schwache SSL/TLS — alles nach realem Risiko priorisiert zurückgegeben.
Ist die API nur über einen KI-Agenten nutzbar?
Nein. Der MCP-Server ist die einfachste Möglichkeit, sie von einem Agenten aus zu nutzen, aber jedes Tool ist auch ein einfacher REST-Endpunkt auf https://agent-api.vulny.app, sodass Sie sie mit demselben API-Schlüssel aus Skripten oder Ihrem eigenen Backend aufrufen können.
Testen Sie es auf Ihrer eigenen Website
Führen Sie einen Scan für Sicherheit, SEO und KI-Suche (GEO) durch — und erhalten Sie einen gebrandeten, ISO 27001 fertigen PDF-Bericht.
Meine Website scannen →