Scanner di sicurezza MCP — scansione delle vulnerabilità per agenti IA

Vulny è uno scanner di sicurezza MCP: dai al tuo agente IA la possibilità di eseguire vere scansioni delle vulnerabilità tramite il Model Context Protocol (MCP). Gli agenti in Claude, Cursor e altri client compatibili con MCP possono scansionare i domini e gli IP di tua proprietà e restituire risultati prioritizzati e corrispondenti ai CVE — fatturati a scansione con crediti prepagati. Nessuna dashboard, nessuna configurazione dell'account: l'agente fa tutto tramite pochi strumenti.

Aggiornato 18 giugno 2026

Connetti il tuo agente (MCP)

Aggiungi il server MCP di Vulny a qualsiasi client compatibile con MCP e autenticati con la tua chiave API:

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

Per ottenere una chiave, il tuo agente chiama lo strumento register con la tua email aziendale; Vulny invia via email un link monouso che rivela la chiave. Gli stessi strumenti sono disponibili anche come semplice API REST sullo stesso host se preferisci l'HTTP puro.

I file della skill e la documentazione di installazione (SKILL.md, README) sono open-source su GitHub: github.com/vulny-app/vulny-agent-scan.

Cosa può fare il tuo agente

Il server espone un piccolo insieme di strumenti che l'agente chiama direttamente — segue lo stato restituito da run_scan finché una scansione non si avvia:

run_scan(target) — avvia una scansione; guida l'agente attraverso la verifica del dominio e il pagamento, poi restituisce un id di scansione
get_scan_status(scan_id) — monitora l'avanzamento attraverso ogni fase (porte → web → scoperta API)
get_scan_report(scan_id, format) — recupera i risultati come tabella a colori, JSON o PDF
buy_credits(package) — acquista in anticipo un pacchetto di crediti (restituisce un link di checkout Stripe)
get_balance() — crediti rimanenti e domini verificati
register / recover_key — ottieni o ruota la tua chiave API via email

Puoi scansionare solo ciò che possiedi

Prima della prima scansione di un dominio, Vulny verifica che tu lo controlli — tramite un record DNS TXT, un file /.well-known/vulny.txt o un link monouso inviato a un indirizzo su quel dominio. L'email del tuo account deve corrispondere al dominio scansionato e i provider di posta pubblici vengono rifiutati. Le scansioni IP sono consentite solo dopo che il dominio corrispondente è stato verificato.

Le scansioni non sono distruttive. Puoi scansionare solo asset di tua proprietà o che sei autorizzato a testare — vedi i nostri Termini di servizio e la Politica di utilizzo accettabile.

Prezzi — 1 credito = 1 scansione

I crediti sono prepagati e un credito esegue una scansione completa. I pacchetti più grandi costano molto meno per scansione:

Single — 1 scansione — €159
Starter — 10 scansioni — €299
Pro — 50 scansioni — €499
Business — 100 scansioni — €699
Enterprise — 500 scansioni — €1.599

Cosa individua una scansione

Ogni scansione mappa le porte aperte e i servizi in esecuzione, li confronta con un database di rilevamento di oltre 357.755 test di vulnerabilità — arricchito con la gravità CVSS, CISA KEV (sfruttamento noto) e la probabilità di sfruttamento EPSS — e testa applicazioni web e API per problemi di classe OWASP, file esposti, endpoint shadow e TLS debole. I risultati vengono restituiti prioritizzati in base al rischio reale.

Il pagamento è gestito da Stripe; una carta salvata consente al tuo agente di ricaricare automaticamente quando esaurisce i crediti. Un credito viene rimborsato se una scansione fallisce per causa nostra. Preferisci CI/CD o HTTP puro? Vedi la documentazione API e la Pipeline DevSecOps.

Domande frequenti

Cos'è la scansione delle vulnerabilità MCP?

MCP (Model Context Protocol) è uno standard aperto per collegare gli strumenti agli agenti AI. Vulny esegue un server MCP così un agente LLM può avviare una vera scansione delle vulnerabilità, tracciarne l'avanzamento e recuperare un report senza lasciare la conversazione. Lo colleghi una volta con una chiave API e l'agente chiama direttamente gli strumenti di scansione.

Come aggiungo la scansione Vulny al mio agente Claude o Cursor?

Aggiungi l'URL del server MCP https://agent-api.vulny.app/mcp al tuo client compatibile con MCP e imposta un header Authorization: Bearer con la tua chiave API. Per ottenere una chiave, l'agente chiama lo strumento register con la tua email aziendale e tu apri il link monouso che Vulny ti invia.

Quanto costa una scansione con un agente?

Le scansioni utilizzano crediti prepagati dove 1 credito = 1 scansione. Una singola scansione costa €159, e i pacchetti più grandi sono più convenienti per scansione: 10 scansioni a €299, 50 scansioni a €499, 100 scansioni a €699, 500 scansioni a €1.599. Il pagamento avviene tramite Stripe e una carta salvata può ricaricare automaticamente.

Un agente AI può scansionare qualsiasi sito web?

No. Puoi scansionare solo domini e IP di tua proprietà o che sei autorizzato a testare. Vulny verifica la proprietà del dominio una volta — tramite un record DNS TXT, un file /.well-known/vulny.txt o un link inviato via email — richiede che l'email del tuo account corrisponda al dominio e rifiuta i provider di posta pubblici. Le scansioni IP richiedono prima un dominio corrispondente verificato.

Cosa rileva una scansione con un agente?

Porte aperte e versioni dei servizi confrontate con oltre 357.755 test di vulnerabilità arricchiti con CVSS, CISA KEV ed EPSS, più test web e API per problemi di classe OWASP, file esposti, API shadow e SSL/TLS debole — il tutto restituito prioritizzato in base al rischio reale.

L'API è utilizzabile solo tramite un agente AI?

No. Il server MCP è il modo più semplice per usarla da un agente, ma ogni strumento è anche un semplice endpoint REST su https://agent-api.vulny.app, così puoi chiamarlo da script o dal tuo backend con la stessa chiave API.

Provalo sul tuo sito

Esegui una scansione per sicurezza, SEO e ricerca con IA (GEO) — e ottieni un report PDF personalizzato, pronto per l’ISO 27001.

Scansiona il mio sito →