Scanner de segurança MCP — verificação de vulnerabilidades para agentes de IA

O Vulny é um scanner de segurança MCP: dê ao seu agente de IA a capacidade de executar verificações de vulnerabilidades reais por meio do Model Context Protocol (MCP). Agentes no Claude, no Cursor e em outros clientes compatíveis com MCP podem verificar os domínios e IPs de sua propriedade e retornar resultados priorizados e correspondidos com CVE — cobrados por verificação com créditos pré-pagos. Sem painel, sem configuração de conta: o agente faz tudo por meio de algumas ferramentas.

Atualizado 18 de junho de 2026

Conecte seu agente (MCP)

Adicione o servidor MCP do Vulny a qualquer cliente compatível com MCP e autentique-se com sua chave de API:

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

Para obter uma chave, seu agente chama a ferramenta register com seu e-mail corporativo; o Vulny envia por e-mail um link único que revela a chave. As mesmas ferramentas também estão disponíveis como uma API REST simples no mesmo host, se você preferir HTTP puro.

Os arquivos de skill e a documentação de instalação (SKILL.md, README) são de código aberto no GitHub: github.com/vulny-app/vulny-agent-scan.

O que seu agente pode fazer

O servidor expõe um pequeno conjunto de ferramentas que o agente chama diretamente — ele segue o status retornado por run_scan até que uma varredura comece:

run_scan(target) — inicia uma varredura; orienta o agente pela verificação de domínio e pelo pagamento, depois retorna um id de varredura
get_scan_status(scan_id) — consulta o progresso em cada fase (portas → web → descoberta de API)
get_scan_report(scan_id, format) — obtém os achados como uma tabela colorida, JSON ou PDF
buy_credits(package) — compra um pacote de créditos antecipadamente (retorna um link de checkout do Stripe)
get_balance() — créditos restantes e domínios verificados
register / recover_key — obtenha ou rotacione sua chave de API por e-mail

Você só pode varrer o que possui

Antes da primeira varredura de um domínio, o Vulny verifica se você o controla — por um registro DNS TXT, um arquivo /.well-known/vulny.txt ou um link único enviado por e-mail a um endereço nesse domínio. O e-mail da sua conta deve corresponder ao domínio que está sendo varrido, e provedores de e-mail públicos são rejeitados. Varreduras de IP só são permitidas após a verificação do domínio correspondente.

As varreduras são não destrutivas. Você só pode varrer ativos que possui ou está autorizado a testar — veja nossos Termos de Serviço e a Política de Uso Aceitável.

Preços — 1 crédito = 1 varredura

Os créditos são pré-pagos e um crédito executa uma varredura completa. Pacotes maiores custam muito menos por varredura:

Single — 1 varredura — €159
Starter — 10 varreduras — €299
Pro — 50 varreduras — €499
Business — 100 varreduras — €699
Enterprise — 500 varreduras — €1.599

O que uma varredura encontra

Cada varredura mapeia portas abertas e serviços em execução, os compara com uma base de detecção de mais de 357.755 testes de vulnerabilidade — enriquecida com severidade CVSS, CISA KEV (explorados conhecidos) e probabilidade de exploração EPSS — e testa aplicações web e APIs em busca de problemas de classe OWASP, arquivos expostos, endpoints ocultos e TLS fraco. Os achados retornam priorizados pelo risco real.

O pagamento é processado pelo Stripe; um cartão salvo permite que seu agente recarregue automaticamente quando ficar sem créditos. Um crédito é reembolsado se uma varredura falhar do nosso lado. Prefere CI/CD ou HTTP puro? Veja a documentação da API e o Pipeline DevSecOps.

Perguntas frequentes

O que é varredura de vulnerabilidades por MCP?

MCP (Model Context Protocol) é um padrão aberto para conectar ferramentas a agentes de IA. O Vulny executa um servidor MCP para que um agente LLM possa iniciar uma varredura real de vulnerabilidades, acompanhar seu progresso e obter um relatório sem sair da conversa. Você o conecta uma vez com uma chave de API e o agente chama as ferramentas de varredura diretamente.

Como adiciono a varredura do Vulny ao meu agente Claude ou Cursor?

Adicione a URL do servidor MCP https://agent-api.vulny.app/mcp ao seu cliente compatível com MCP e defina um cabeçalho Authorization: Bearer com sua chave de API. Para obter uma chave, o agente chama a ferramenta register com seu e-mail corporativo e você abre o link único que o Vulny envia.

Quanto custa uma varredura por agente?

As varreduras usam créditos pré-pagos em que 1 crédito = 1 varredura. Uma única varredura custa €159, e pacotes maiores são mais baratos por varredura: 10 varreduras por €299, 50 varreduras por €499, 100 varreduras por €699, 500 varreduras por €1.599. O pagamento é via Stripe e um cartão salvo pode recarregar automaticamente.

Um agente de IA pode varrer qualquer site?

Não. Você só pode varrer domínios e IPs que possui ou está autorizado a testar. O Vulny verifica a propriedade do domínio uma vez — por um registro DNS TXT, um arquivo /.well-known/vulny.txt ou um link enviado por e-mail — exige que o e-mail da sua conta corresponda ao domínio e rejeita provedores de e-mail públicos. Varreduras de IP precisam primeiro de um domínio correspondente verificado.

O que uma varredura por agente detecta?

Portas abertas e versões de serviço comparadas com mais de 357.755 testes de vulnerabilidade enriquecidos com CVSS, CISA KEV e EPSS, além de testes web e de API para problemas de classe OWASP, arquivos expostos, shadow APIs e SSL/TLS fraco — todos retornados priorizados pelo risco real.

A API só pode ser usada por meio de um agente de IA?

Não. O servidor MCP é a maneira mais fácil de usá-la a partir de um agente, mas toda ferramenta também é um endpoint REST simples em https://agent-api.vulny.app, então você pode chamá-la a partir de scripts ou do seu próprio backend com a mesma chave de API.

Veja no seu próprio site

Execute uma verificação para segurança, SEO e AI-search (GEO) — e receba um relatório PDF com a sua marca, pronto para a ISO 27001.

Verificar meu site →