MCP セキュリティスキャナー — AIエージェント向け脆弱性スキャン

エージェントを接続 (MCP)

任意の MCP 対応クライアントに Vulny MCP サーバーを追加し、API キーで認証します：

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

キーを取得するには、エージェントが会社のメールアドレスを指定して register ツールを呼び出します。Vulny がキーを表示する一回限りのリンクをメールで送信します。同じツール群は、生の HTTP を使いたい場合に備えて、同じホスト上のプレーンな REST API としても利用できます。

スキルファイルとインストールドキュメント（SKILL.md、README）は GitHub でオープンソースとして公開されています： github.com/vulny-app/vulny-agent-scan。

エージェントができること

サーバーは、エージェントが直接呼び出す小さなツール群を公開しています — エージェントはスキャンが開始されるまで run_scan が返すステータスに従います：

• run_scan(target) — スキャンを開始します。エージェントをドメイン検証と支払いまで案内し、スキャン id を返します
• get_scan_status(scan_id) — 各フェーズ（ポート → Web → API 検出）を通じて進捗をポーリングします
• get_scan_report(scan_id, format) — 検出結果をカラー表、JSON、または PDF として取得します
• buy_credits(package) — クレジットパックを前払いで購入します（Stripe のチェックアウトリンクを返します）
• get_balance() — 残りのクレジットと検証済みドメイン
• register / recover_key — メールで API キーを取得またはローテーションします

スキャンできるのは所有しているものだけ

ドメインの初回スキャンの前に、Vulny はお客様がそのドメインを管理していることを検証します — DNS の TXT レコード、/.well-known/vulny.txt ファイル、またはそのドメインのアドレスにメールで送られる一回限りのリンクによって行います。アカウントのメールアドレスはスキャン対象のドメインと一致する必要があり、公開メールプロバイダーは拒否されます。IP スキャンは、対応するドメインが検証された後にのみ許可されます。

スキャンは非破壊的です。スキャンできるのは、ご自身が所有するか、またはテストの許可を得ている資産のみです — 当社の利用規約および利用許諾ポリシーをご覧ください。

料金 — 1 クレジット = 1 スキャン

クレジットは前払いで、1 クレジットで 1 回のフルスキャンを実行できます。大きなパックほど 1 スキャンあたりの費用が大幅に安くなります：

• Single — 1 スキャン — €159
• Starter — 10 スキャン — €299
• Pro — 50 スキャン — €499
• Business — 100 スキャン — €699
• Enterprise — 500 スキャン — €1,599

スキャンで見つかるもの

各スキャンは、開いているポートと稼働中のサービスをマッピングし、357,755 件以上の脆弱性テストからなる検出データベースと照合します — CVSS の深刻度、CISA KEV（既知の悪用）、EPSS の悪用確率の情報で補強されています — さらに、Web アプリと API について OWASP クラスの問題、露出したファイル、シャドーエンドポイント、脆弱な TLS をテストします。検出結果は現実のリスクに基づいて優先順位付けされて返されます。

支払いは Stripe によって処理されます。カードを保存しておくと、クレジットが尽きたときにエージェントが自動的にチャージできます。当社側でスキャンが失敗した場合、クレジットは返金されます。CI/CD や生の HTTP をご希望ですか？ API ドキュメントおよびDevSecOps パイプラインをご覧ください。