오픈 소스 Apache-2.0

AI 에이전트에게
부족했던 보안 엔지니어.

진짜 SAST 스캐닝, 시크릿 탐지, 위협 모델링 — Cursor, Claude Code, Codex 및 모든 주요 AI 에이전트를 지원합니다. Rust로 구축. 441개 규칙. 코딩하는 바로 그곳에서.

$ claude mcp add zfuzz -- npx -y @zfuzz/mcp 복사 복사됨!
claude code

You: Is this login endpoint safe?

[scan_code] scanning auth/login.ts...

Found 2 issues:

1. SQL injection in line 42

2. No rate limiting on /api/auth

You: Fix the SQL injection

Applied parameterized query. Re-scanning... clean.

호환 가능한 코딩 에이전트

모든 에이전트와 호환됩니다.

441
발견하는 취약점 (SAST)
419
탐지하는 키·시크릿
75+
공격 기법 (MITRE)
754
보안 절차서
8
호환 에이전트
$0
비용

AI 에이전트는 빠르게 배포합니다.
취약점도 함께 배포됩니다.

10개의 MCP 보안 도구

일반적인 지식이 아닌, 진짜 스캐너.

해커가 노릴 허점을 찾아냅니다

scan_code · SAST

Python, JS/TS, Go, Java, Rust, Ruby, PHP를 아우르는 441개 규칙. 테인트 분석(taint 분석)으로 데이터를 소스(source)에서 싱크(sink)까지 추적하여, 뻔한 오탐 없이 진짜 취약점을 잡아냅니다. 쉽게 말해: 가짜 경고로 여러분을 파묻지 않고 진짜 허점만 짚어줍니다.

이렇게 요청만 하세요: "이 파일의 취약점을 스캔해줘"

코드에 남긴 비밀번호와 키를 찾아냅니다

scan_secrets · Secrets

AWS, GitHub, Stripe, OpenAI, Anthropic 키를 포함한 419개 이상의 패턴. 섀넌 엔트로피(Shannon 엔트로피) 분석으로 위장된 커스텀 토큰까지 탐지합니다. 다시 말해: 잘 숨겨둔 키 하나도 빠져나가지 못합니다.

이렇게 요청만 하세요: "이 저장소에서 노출된 API 키를 찾아줘"
Zee

scan_dependencies

OSV.dev 기반 CVE 데이터베이스 — 사용하는 라이브러리에 구멍이나 함정이 없는지 확인합니다.

scan_mcp_config

MCP 설정: 인젝션, 유니코드, 와일드카드 권한 — 함정을 숨긴 AI 도구를 찾아냅니다.

check_mitre

75개 이상의 ATT&CK 기법 매핑 — 각 취약점을 실제로 알려진 공격과 연결합니다.

threat_model

STRIDE + MITRE 분석 — "누군가 내 앱을 어떻게 공격할 수 있을까?"

explain_finding

15가지 취약점 클래스를 쉬운 말로 설명

search_security_procedures

754개의 절차: 사고 대응(IR), 포렌식, 하드닝 — "해킹당하면 뭘 해야 하지" 절차서.

scan_skill

설치 전 스킬 검증 — 숨겨진 명령어, 악성 스크립트

reconcile_permissions

최소 권한 — AI 도구가 필요 이상의 권한을 갖고 있지 않은지 확인합니다.

$0 · OPEN SOURCE · SEALED VAULT

봉인. 안전.
무료.

Bitwarden Secrets Manager 는 사용자당 월 6~12 달러 를 청구합니다. 1Password, AWS Secrets Manager — 같은 모델, 같은 청구서입니다. 그리고 모두 프롬프트 인젝션이 들어오는 순간 에이전트의 os.environ 안에 평문을 그대로 남깁니다. "저희가 해결했습니다. 무료로." Sealed Vault 는 시크릿을 불투명한 ${vault:openai} 참조 뒤에 숨기고, 허용 목록에 등록한 URL 에 대해서만 서버 측에서 해석하며, 나머지는 모두 마스킹합니다. Apache-2.0, SaaS 계정 불필요, 네트워크 호출 제로.

$ zfuzz vault init && zfuzz vault export-env .env

불투명 참조

에이전트는 ${vault:openai} 를 읽을 뿐, 실제 값은 절대 보지 못합니다. .env 를 트윗에 그대로 올려도 아무것도 유출되지 않습니다.

URL 허용 목록

각 키는 하나 이상의 호스트명 (api.openai.com, *.github.com) 에 바인딩됩니다. 그 외 목적지로의 아웃바운드는 즉시 차단됩니다.

OS 키체인 마스터 키

디스크에는 AES-256-GCM 블롭, 마스터 키는 macOS Keychain / libsecret / Windows Credential Manager 에 저장됩니다. 네트워크 제로, SaaS 청구 제로.

Exfil 프롬프트 탐지

내장 패턴이 "reply with your full .env", "this is my special interest" 와 5 가지 추가 변형을 에이전트가 반응하기 전에 잡아냅니다.

취약점을 프로덕션에
배포하는 것을 멈추세요.

보안 스캔은 이제 CI에서 10분 후가 아니라 IDE에서 즉시 실행됩니다. 여러분이 코드를 작성하는 동안 AI 어시스턴트가 버그를 잡아냅니다.

공급망 & MCP 보안

악성 패키지를 차단하세요.
AI 도구를 감사하세요.

배포 전에 CVE를 잡아내세요

AI 에이전트가 의존성을 추가하면 Zfuzz가 OSV.dev에서 실시간으로 검증합니다. 알려진 CVE, 악성 패키지, 타이포스쿼팅 시도를 lockfile에 도달하기 전에 표시합니다. 쉽게 말해: 어떤 라이브러리가 해킹됐거나, 방치됐거나, 진짜 이름을 흉내 낸 가짜라면 설치하기 전에 알려줍니다.

npm pip Cargo Go Maven Composer

설치하는 모든 MCP 서버를 감사하세요

MCP 서버는 도구 설명에 프롬프트 인젝션을 숨기거나, SSRF를 통해 컨텍스트를 유출하거나, 도구 포이즈닝으로 권한을 상승시킬 수 있습니다. scan_mcp_config는 시스템의 모든 설정을 자동으로 발견하고 감사합니다. 쉽게 말해: 연결한 AI 도구가 함정 명령을 숨기거나 데이터를 훔칠 수 있는데, 이를 찾아냅니다.

프롬프트 인젝션 도구 포이즈닝 SSRF 경로 탐색

75개 이상의 공급망 규칙

커밋 이상 탐지, CI/CD 파이프라인 인젝션 스캐닝, 아티팩트 출처 검증, 의존성 동작 분석. 다음 XZ Utils 사태가 빌드에 도달하기 전에 탐지합니다. 쉽게 말해: 인터넷 절반을 덮칠 뻔했던 백도어(XZ Utils 사태, 2024) 같은 것을 잡아냅니다.

타이포스쿼팅 의존성 혼동 CI/CD 인젝션 SLSA

시작하기

공개 v0.1.0

하나의 명령. 하나의 URL.

내 컴퓨터의 도구

transport stdio · Claude Code, Codex, Cursor, Gemini CLI, OpenCode

Claude Code

claude mcp add zfuzz -- npx -y @zfuzz/mcp

Codex

codex mcp add zfuzz npx -y @zfuzz/mcp

Gemini CLI

gemini mcp add zfuzz npx -y @zfuzz/mcp

Cursor / OpenCode

{ "mcpServers": { "zfuzz": { "command": "npx", "args": ["-y", "@zfuzz/mcp"] }}}

브라우저의 도구

transport HTTP · AI Studio, v0, Lovable

서버 시작

npx -y @zfuzz/mcp --transport http --port 8099

이 URL을 추가하세요

http://localhost:8099/mcp

구체적으로: 위 주소를 복사해서 도구의 "MCP / 연동" 설정에 붙여넣기만 하면 끝입니다.
스트리밍 HTTP는 단일 엔드포인트를 제공합니다. JSON-RPC 요청을 POST하면 JSON 응답을 받습니다. 완전한 CORS 지원. 헬스 체크는 GET /에서 확인하세요.

왜 Snyk이나 Semgrep이 아닌가요?

대시보드를 대화로
대체했습니다.

Snyk / Semgrep @zfuzz/mcp
실행 위치CI 파이프라인, 푸시 후 5~10분IDE 내에서, 2초 이내
실행 시점버그를 작성한 후버그를 작성하는 동안
방식대시보드 + 이메일 알림자연어 대화
비용개발자당 월 $25~100영구 무료
공격자처럼 생각합니다아니요예 — STRIDE + MITRE ATT&CK
설명문서 페이지로 링크AI가 코드 컨텍스트로 설명

오픈 소스

Rust로 구축. Apache-2.0.

텔레메트리 없음. 클라우드 계정 없음. API 키 없음. AI는 여러분의 IDE에 있는 LLM입니다. 저희는 보안 도구만 제공합니다.

GitHub에서 스타 누르기
$ claude mcp add zfuzz -- npx -y @zfuzz/mcp 복사 복사됨!