Escáner de seguridad MCP — análisis de vulnerabilidades para agentes de IA

Conecte su agente (MCP)

Añada el servidor MCP de Vulny a cualquier cliente compatible con MCP y autentíquese con su clave de API:

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

Para obtener una clave, su agente llama a la herramienta register con el correo electrónico de su empresa; Vulny envía por correo un enlace de un solo uso que revela la clave. Las mismas herramientas también están disponibles como una API REST simple en el mismo host si prefiere HTTP directo.

Los archivos de skill y la documentación de instalación (SKILL.md, README) son de código abierto en GitHub: github.com/vulny-app/vulny-agent-scan.

Qué puede hacer su agente

El servidor expone un pequeño conjunto de herramientas que el agente llama directamente — sigue el estado devuelto por run_scan hasta que se inicia un análisis:

• run_scan(target) — inicia un análisis; guía al agente por la verificación del dominio y el pago, y luego devuelve un id de análisis
• get_scan_status(scan_id) — consulta el progreso a través de cada fase (puertos → web → descubrimiento de API)
• get_scan_report(scan_id, format) — obtiene los hallazgos como tabla en color, JSON o PDF
• buy_credits(package) — compra un paquete de créditos por adelantado (devuelve un enlace de pago de Stripe)
• get_balance() — créditos restantes y dominios verificados
• register / recover_key — obtenga o rote su clave de API por correo electrónico

Solo puede analizar lo que le pertenece

Antes del primer análisis de un dominio, Vulny verifica que usted lo controla — mediante un registro DNS TXT, un archivo /.well-known/vulny.txt, o un enlace de un solo uso enviado a una dirección de ese dominio. El correo de su cuenta debe coincidir con el dominio que se analiza, y se rechazan los proveedores de correo públicos. Los análisis de IP solo se permiten una vez verificado el dominio correspondiente.

Los análisis no son destructivos. Solo puede analizar activos de su propiedad o para cuya prueba esté autorizado — consulte nuestros Términos del Servicio y la Política de Uso Aceptable.

Precios — 1 crédito = 1 análisis

Los créditos son prepagados y un crédito ejecuta un análisis completo. Los paquetes más grandes cuestan mucho menos por análisis:

• Single — 1 análisis — €159
• Starter — 10 análisis — €299
• Pro — 50 análisis — €499
• Business — 100 análisis — €699
• Enterprise — 500 análisis — €1.599

Qué encuentra un análisis

Cada análisis mapea los puertos abiertos y los servicios en ejecución, los correlaciona con una base de datos de detección de más de 357.755 pruebas de vulnerabilidad — enriquecida con la severidad CVSS, CISA KEV (explotación conocida) y la probabilidad de explotación EPSS — y prueba las aplicaciones web y las API en busca de problemas de clase OWASP, archivos expuestos, endpoints shadow y TLS débil. Los hallazgos se devuelven priorizados por riesgo real.

El pago lo gestiona Stripe; una tarjeta guardada permite que su agente recargue automáticamente cuando se queda sin créditos. Se reembolsa un crédito si un análisis falla por nuestra parte. ¿Prefiere CI/CD o HTTP directo? Consulte la documentación de la API y el Pipeline DevSecOps.