Scanner de sécurité MCP — analyse de vulnérabilités pour agents IA

Connectez votre agent (MCP)

Ajoutez le serveur MCP Vulny à n'importe quel client compatible MCP et authentifiez-vous avec votre clé d'API :

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

Pour obtenir une clé, votre agent appelle l'outil register avec votre e-mail professionnel ; Vulny envoie par e-mail un lien à usage unique qui révèle la clé. Les mêmes outils sont également disponibles sous forme d'API REST simple sur le même hôte si vous préférez le HTTP brut.

Les fichiers de skill et la documentation d'installation (SKILL.md, README) sont open source sur GitHub : github.com/vulny-app/vulny-agent-scan.

Ce que votre agent peut faire

Le serveur expose un petit ensemble d'outils que l'agent appelle directement — il suit le statut renvoyé par run_scan jusqu'au démarrage d'une analyse :

• run_scan(target) — lance une analyse ; guide l'agent à travers la vérification du domaine et le paiement, puis renvoie un id d'analyse
• get_scan_status(scan_id) — interroge la progression à travers chaque phase (ports → web → découverte d'API)
• get_scan_report(scan_id, format) — récupère les résultats sous forme de tableau en couleur, JSON ou PDF
• buy_credits(package) — achète un pack de crédits à l'avance (renvoie un lien de paiement Stripe)
• get_balance() — crédits restants et domaines vérifiés
• register / recover_key — obtenez ou renouvelez votre clé d'API par e-mail

Vous ne pouvez analyser que ce que vous possédez

Avant la première analyse d'un domaine, Vulny vérifie que vous le contrôlez — par un enregistrement DNS TXT, un fichier /.well-known/vulny.txt ou un lien à usage unique envoyé à une adresse de ce domaine. L'e-mail de votre compte doit correspondre au domaine analysé, et les fournisseurs de messagerie publics sont rejetés. Les analyses d'IP ne sont autorisées qu'après vérification du domaine correspondant.

Les analyses sont non destructives. Vous ne pouvez analyser que les actifs que vous possédez ou que vous êtes autorisé à tester — voir nos Conditions d'utilisation et notre Politique d'utilisation acceptable.

Tarifs — 1 crédit = 1 analyse

Les crédits sont prépayés et un crédit exécute une analyse complète. Les packs plus importants coûtent bien moins par analyse :

• Single — 1 analyse — 159 €
• Starter — 10 analyses — 299 €
• Pro — 50 analyses — 499 €
• Business — 100 analyses — 699 €
• Enterprise — 500 analyses — 1 599 €

Ce qu'une analyse détecte

Chaque analyse cartographie les ports ouverts et les services en cours d'exécution, les corrèle à une base de détection de plus de 357 755 tests de vulnérabilités — enrichie de la gravité CVSS, de CISA KEV (exploitées connues) et de la probabilité d'exploitation EPSS — et teste les applications Web et les API à la recherche de problèmes de classe OWASP, de fichiers exposés, de points de terminaison fantômes et de TLS faible. Les résultats sont renvoyés priorisés selon le risque réel.

Le paiement est géré par Stripe ; une carte enregistrée permet à votre agent de se recharger automatiquement lorsqu'il est à court de crédits. Un crédit est remboursé si une analyse échoue de notre côté. Vous préférez le CI/CD ou le HTTP brut ? Voir la documentation de l'API et le pipeline DevSecOps.