Trình quét bảo mật MCP — quét lỗ hổng cho tác nhân AI

Vulny là một trình quét bảo mật MCP: cung cấp cho tác nhân AI của bạn khả năng chạy các lần quét lỗ hổng thực sự qua Model Context Protocol (MCP). Các tác nhân trong Claude, Cursor và các trình khách tương thích MCP khác có thể quét các tên miền và IP mà bạn sở hữu và trả về các phát hiện được ưu tiên, đối chiếu với CVE — tính phí theo lần quét bằng tín dụng trả trước. Không bảng điều khiển, không thiết lập tài khoản: tác nhân làm mọi thứ thông qua một vài công cụ.

Cập nhật 18 tháng 6, 2026

Kết nối agent của bạn (MCP)

Thêm máy chủ MCP của Vulny vào bất kỳ client tương thích MCP nào và xác thực bằng khóa API của bạn:

MCP endpoint:  https://agent-api.vulny.app/mcp
Authorization: Bearer vlna_your_key

Để lấy khóa, agent của bạn gọi công cụ register với email công ty của bạn; Vulny gửi email một liên kết dùng một lần tiết lộ khóa. Các công cụ tương tự cũng có sẵn dưới dạng API REST thuần túy tại cùng máy chủ nếu bạn ưa dùng HTTP thô.

Các tệp skill và tài liệu cài đặt (SKILL.md, README) là mã nguồn mở trên GitHub: github.com/vulny-app/vulny-agent-scan.

Agent của bạn có thể làm gì

Máy chủ cung cấp một bộ công cụ nhỏ mà agent gọi trực tiếp — nó tuân theo trạng thái được trả về bởi run_scan cho đến khi một lần quét bắt đầu:

run_scan(target) — bắt đầu một lần quét; dẫn dắt agent qua quá trình xác minh tên miền và thanh toán, rồi trả về id quét
get_scan_status(scan_id) — theo dõi tiến trình qua từng giai đoạn (cổng → web → khám phá API)
get_scan_report(scan_id, format) — lấy các phát hiện dưới dạng bảng màu, JSON hoặc PDF
buy_credits(package) — mua trước một gói tín dụng (trả về liên kết thanh toán Stripe)
get_balance() — tín dụng còn lại và các tên miền đã xác minh
register / recover_key — lấy hoặc xoay khóa API của bạn qua email

Bạn chỉ có thể quét những gì bạn sở hữu

Trước lần quét đầu tiên của một tên miền, Vulny xác minh rằng bạn kiểm soát nó — qua bản ghi DNS TXT, tệp /.well-known/vulny.txt, hoặc một liên kết dùng một lần gửi đến địa chỉ email trên tên miền đó. Email tài khoản của bạn phải khớp với tên miền đang được quét, và các nhà cung cấp email công cộng sẽ bị từ chối. Việc quét IP chỉ được cho phép sau khi tên miền tương ứng đã được xác minh.

Các lần quét không gây phá hủy. Bạn chỉ được quét những tài sản mà bạn sở hữu hoặc được phép kiểm tra — xem Điều khoản dịch vụ và Chính sách sử dụng hợp lý của chúng tôi.

Bảng giá — 1 tín dụng = 1 lần quét

Tín dụng được trả trước và một tín dụng chạy một lần quét đầy đủ. Các gói lớn hơn có chi phí thấp hơn nhiều cho mỗi lần quét:

Single — 1 lần quét — €159
Starter — 10 lần quét — €299
Pro — 50 lần quét — €499
Business — 100 lần quét — €699
Enterprise — 500 lần quét — €1,599

Một lần quét tìm thấy những gì

Mỗi lần quét lập bản đồ các cổng đang mở và dịch vụ đang chạy, đối chiếu chúng với cơ sở dữ liệu phát hiện gồm hơn 357.755 bài kiểm tra lỗ hổng — được làm giàu với mức độ nghiêm trọng CVSS, CISA KEV (đã bị khai thác) và xác suất khai thác EPSS — đồng thời kiểm tra các ứng dụng web và API để tìm các vấn đề thuộc nhóm OWASP, tệp lộ ra ngoài, điểm cuối shadow và TLS yếu. Các phát hiện trả về được ưu tiên theo rủi ro thực tế.

Thanh toán được xử lý bởi Stripe; một thẻ đã lưu cho phép agent của bạn tự động nạp thêm khi hết tín dụng. Một tín dụng sẽ được hoàn lại nếu một lần quét thất bại do lỗi từ phía chúng tôi. Ưa dùng CI/CD hoặc HTTP thô? Xem Tài liệu API và Quy trình DevSecOps.

Câu hỏi thường gặp

Quét lỗ hổng MCP là gì?

MCP (Model Context Protocol) là một tiêu chuẩn mở để kết nối các công cụ với AI agent. Vulny chạy một máy chủ MCP để một LLM agent có thể bắt đầu một lần quét lỗ hổng thực sự, theo dõi tiến trình và lấy báo cáo mà không cần rời khỏi cuộc hội thoại. Bạn kết nối nó một lần bằng khóa API và agent gọi các công cụ quét trực tiếp.

Làm thế nào để thêm tính năng quét của Vulny vào agent Claude hoặc Cursor của tôi?

Thêm URL máy chủ MCP https://agent-api.vulny.app/mcp vào client tương thích MCP của bạn và đặt header Authorization: Bearer kèm khóa API của bạn. Để lấy khóa, agent gọi công cụ register với email công ty của bạn và bạn mở liên kết dùng một lần mà Vulny gửi cho bạn.

Một lần quét bằng agent có giá bao nhiêu?

Các lần quét sử dụng tín dụng trả trước với 1 tín dụng = 1 lần quét. Một lần quét có giá €159, và các gói lớn hơn rẻ hơn cho mỗi lần quét: 10 lần quét với €299, 50 lần quét với €499, 100 lần quét với €699, 500 lần quét với €1,599. Thanh toán qua Stripe và một thẻ đã lưu có thể tự động nạp thêm.

Một AI agent có thể quét bất kỳ website nào không?

Không. Bạn chỉ có thể quét các tên miền và IP mà bạn sở hữu hoặc được phép kiểm tra. Vulny xác minh quyền sở hữu tên miền một lần — qua bản ghi DNS TXT, tệp /.well-known/vulny.txt hoặc một liên kết gửi qua email — yêu cầu email tài khoản của bạn khớp với tên miền, và từ chối các nhà cung cấp email công cộng. Việc quét IP cần một tên miền tương ứng đã được xác minh trước.

Một lần quét bằng agent phát hiện những gì?

Các cổng đang mở và phiên bản dịch vụ được đối chiếu với hơn 357.755 bài kiểm tra lỗ hổng được làm giàu với CVSS, CISA KEV và EPSS, cùng các bài kiểm tra web và API để tìm các vấn đề thuộc nhóm OWASP, tệp lộ ra ngoài, API shadow và SSL/TLS yếu — tất cả được trả về theo thứ tự ưu tiên dựa trên rủi ro thực tế.

API chỉ có thể dùng được thông qua một AI agent thôi sao?

Không. Máy chủ MCP là cách dễ nhất để dùng nó từ một agent, nhưng mọi công cụ cũng là một điểm cuối REST thuần túy trên https://agent-api.vulny.app, nên bạn có thể gọi nó từ các script hoặc backend của riêng mình với cùng khóa API.

Xem ngay trên chính website của bạn

Chạy một lần quét cho bảo mật, SEO và AI-search (GEO) — và nhận báo cáo PDF có thương hiệu, sẵn sàng cho ISO 27001.

Quét website của tôi →