MCP.so
ログイン

Server Attestation

@studiomeyer-io

Server Attestation について

Layer-2 supply-chain hardening for MCP servers — Ed25519-signed tool manifests, runtime spawn-attestation, default-deny argument sanitizer. Defends against marketplace-poisoning + CVE-2025-69256 + CVE-2025-61591.

基本情報

ライセンス

MIT

ランタイム

node

公開者

studiomeyer-io

投稿者

Matthias Meyer - StudioMeyer

設定

以下の設定を使って、このサーバーを MCP 対応クライアントに追加してください。

{
  "mcpServers": {
    "mcp-server-attestation": {
      "command": "npx",
      "args": [
        "mcp-attest-demo"
      ]
    }
  }
}

ツール

ツールは検出されませんでした

ツールは README から自動的に抽出されます。メンテナーは ## Tools という見出しの下に記載することで、このタブに反映できます。

概要

What is Server Attestation?

Layer-2 supply-chain hardening for MCP servers — Ed25519-signed tool manifests, runtime spawn-attestation, default-deny argument sanitizer. Defends against marketplace-poisoning + CVE-2025-69256 + CVE-2025-61591.

How to use Server Attestation?

The README includes setup instructions such as npx mcp-attest-demo.

Key features of Server Attestation

  • CVE-2025-69256 — Serverless Framework MCP RCE via child_process.exec() command injection
  • CVE-2025-61591 — Cursor MCP RCE through OAuth-installed malicious server with spawn hijack
  • Canonical JSON is the signed surface. Re-serialisation cannot change the signed bytes
  • Sandbox or containerise the server process
  • OAuth flow hardening (separate mcp-oauth-shield build)

Use cases of Server Attestation

  • Connect an MCP-compatible client to this repository's service.
  • Review the README-backed setup before enabling it in production.

FAQ from Server Attestation

Where is the source code for Server Attestation?

The source code is linked from the repository URL on this page.

Does Server Attestation include a standard MCP config?

If the README contains a parseable MCP configuration block, it is shown in the Config tab.

コメント

マーケットプレイスの他のコンテンツ