CVE MCP Server là một dự án mã nguồn mở được thiết kế để tối ưu hóa quy trình triage lỗ hổng CVE, biến Anthropic’s Claude AI thành một tác nhân phân tích bảo mật có khả năng truy vấn trực tiếp nhiều nguồn dữ liệu qua một câu lệnh ngôn ngữ tự nhiên. Dự án này hướng tới việc giảm tải cho các nhóm tin tức bảo mật và phân tích an ninh mạng khi phải đánh giá hàng loạt cảnh báo lỗ hổng cùng lúc.
CVE MCP Server và quy trình triage lỗ hổng CVE
Theo mô tả dự án, việc triage một lỗ hổng CVE thường yêu cầu mở đồng thời nhiều tab trình duyệt để kiểm tra NVD, EPSS, danh mục CISA Known Exploited Vulnerabilities (KEV), GitHub, VirusTotal, Shodan và các nguồn khác. Với lỗ hổng CVE, quy trình thủ công này dễ trở thành nút thắt vận hành, đặc biệt khi đội ngũ phải xử lý từ 50 CVE trở lên cùng lúc.
Dữ liệu EPSS v4 được trích dẫn trong nội dung cho thấy 96% cảnh báo CVE dưới ngưỡng khai thác bị bỏ qua hoàn toàn do khối lượng công việc thủ công. Đây là lý do CVE MCP Server được định vị như một công cụ hỗ trợ cảnh báo CVE theo hướng đa tín hiệu, thay vì chỉ dựa vào CVSS.
Tham khảo thêm nguồn gốc và nền tảng MCP tại GitHub repository của dự án.
Kiến trúc Model Context Protocol trong CVE MCP Server
CVE MCP Server là một triển khai sản xuất của Anthropic Model Context Protocol (MCP), một chuẩn mở cho phép ứng dụng LLM tích hợp liền mạch với nguồn dữ liệu và công cụ bên ngoài. Ở đây, Claude được kết nối với 27 công cụ bảo mật chia thành 5 nhóm: Core Vulnerability Intelligence, Exploit & Attack Intelligence, Advanced Risk & Reporting, Network Intelligence và Threat Intelligence.
Ngăn xếp công nghệ của dự án gồm Python, FastMCP, httpx, aiosqlite, Pydantic v2 và defusedxml. Toàn bộ hệ thống hoạt động qua outbound HTTPS only, không mở inbound ports, không telemetry, và không ghi log API key.
Các công cụ lõi trong triage lỗ hổng CVE
Nhóm công cụ Core Vulnerability Intelligence hỗ trợ truy vấn nhanh các tín hiệu chính cho lỗ hổng CVE:
- lookup_cve (NVD): tra cứu metadata CVE.
- get_epss_score (FIRST): lấy điểm xác suất khai thác.
- check_kev_status (CISA): kiểm tra trạng thái trong KEV.
- bulk_cve_lookup: truy vấn hàng loạt tối đa 20 CVE song song.
Đây là lớp dữ liệu nền để đánh giá rủi ro bảo mật thay vì chỉ xem điểm CVSS đơn lẻ. Cách tiếp cận này phù hợp với thực tế tin bảo mật mới nhất, nơi triage phải kết hợp tín hiệu khai thác, mức độ phơi lộ và tình trạng PoC.
Exploit intelligence và tín hiệu khai thác zero-day
Nhóm Exploit & Attack Intelligence của CVE MCP Server liên kết CVE với MITRE ATT&CK techniques, kiểm tra khả năng có PoC trên GitHub và Exploit-DB, đồng thời truy xuất CAPEC attack patterns. Đây là thành phần quan trọng khi đánh giá nguy cơ khai thác zero-day hoặc các biến thể zero-day vulnerability có khả năng chuyển sang remote code execution.
Việc đối chiếu PoC cùng mức ưu tiên từ KEV và EPSS giúp giảm phụ thuộc vào phân loại CVSS. Trong nhiều quy trình an toàn thông tin, một lỗ hổng CVE có PoC công khai và xuất hiện trong KEV sẽ được đẩy lên mức xử lý khẩn cấp hơn so với các CVE chưa có tín hiệu khai thác.
Network intelligence, threat intelligence và IOC
Nhóm Network Intelligence mở rộng phân tích sang các nguồn như AbuseIPDB, GreyNoise, Shodan và CIRCL Passive DNS. Nhóm Threat Intelligence kết nối với VirusTotal, MalwareBazaar, ThreatFox để tra cứu IOC, đồng thời tích hợp Ransomwhere để theo dõi địa chỉ Bitcoin liên quan đến ransomware.
IOC được đề cập trong nội dung gốc:
- VirusTotal: tra cứu tệp, URL, domain và hash liên quan.
- MalwareBazaar: đối chiếu mẫu mã độc.
- ThreatFox: tra cứu IOC theo hành vi và hạ tầng.
- Ransomwhere: theo dõi địa chỉ Bitcoin liên quan đến ransomware.
Trong bối cảnh mối đe dọa mạng, việc gom IOC từ nhiều nguồn giúp phát hiện sớm dấu hiệu xâm nhập trái phép hoặc liên kết giữa một lỗ hổng CVE với hoạt động khai thác đang diễn ra. Đây cũng là cách CVE MCP Server hỗ trợ phát hiện xâm nhập ở mức triage ban đầu.
Công thức chấm điểm rủi ro bảo mật
Điểm đáng chú ý của CVE MCP Server là cơ chế weighted risk scoring, thay vì ưu tiên dựa trên CVSS בלבד. Công thức được mô tả như sau:
EPSS probability: 35%
CISA KEV status: 30%
CVSS: 20%
PoC availability: 15%Hệ thống còn áp dụng các hệ số tăng cường khi xuất hiện các tổ hợp như KEV + PoC, CVSS ≥ 9.0 kèm EPSS cao, hoặc khi CVE vừa được công bố gần đây. Điểm từ 76–100 sẽ được gán nhãn CRITICAL và yêu cầu vá trong khung 24–48 giờ theo cơ chế emergency change window.
Cách phân loại này giúp đội ngũ an toàn mạng ưu tiên các lỗ hổng CVE có khả năng bị khai thác cao, thay vì dàn trải nguồn lực cho mọi cảnh báo với cùng một mức độ.
Khả năng triển khai không cần API key
Trong số các công cụ của dự án, có 8 công cụ hoạt động mà không cần API key, bao gồm EPSS, CISA KEV, OSV.dev, MITRE ATT&CK, CWE lookups, CVSS parsing, Ransomwhere và NVD ở mức giới hạn thấp. Điều này cho phép đội ngũ triển khai và bắt đầu truy vấn ngay, sau đó bổ sung key theo tầng để tăng hiệu năng.
Cơ chế phân tầng được mô tả gồm Tier 1 keys như NVD và GitHub để tăng throughput, và Tier 2 keys như AbuseIPDB, VirusTotal, GreyNoise, Shodan để mở rộng khả năng điều tra đa miền. Với các nhóm đang xử lý nhiều cảnh báo CVE, mô hình này hỗ trợ giảm độ trễ trong phân tích ban đầu.
DevSecOps tools trong CVE MCP Server
Dự án cũng bổ sung ba công cụ phục vụ chuỗi cung ứng phần mềm và an toàn thông tin trong DevSecOps:
- scan_dependencies: truy vấn OSV.dev để phát hiện phiên bản package có lỗ hổng.
- scan_github_advisories: tìm Security Advisories theo hệ sinh thái.
- urlscan_check: phân tích URL đáng ngờ.
Với một prompt duy nhất trong Claude, nhà phát triển có thể quét toàn bộ requirements.txt và nhận khuyến nghị nâng cấp theo mức độ ưu tiên. Đây là bước hữu ích để giảm rủi ro bảo mật phát sinh từ dependency lỗi thời hoặc chứa lỗ hổng CVE.
CLI, tích hợp và triển khai
CVE MCP Server đã được công bố trên GitHub và hỗ trợ cấu hình cho Claude Desktop lẫn Claude Code. Luồng triển khai tập trung vào truy vấn qua ngôn ngữ tự nhiên thay vì thao tác tay với nhiều nguồn dữ liệu, giúp các nhóm an ninh mạng rút ngắn thời gian xử lý khi cần đánh giá nhanh lỗ hổng CVE.
# Repository tham chiếu
https://github.com/mukul975/cve-mcp-server
# Nguồn NVD cho tra cứu CVE
https://nvd.nist.gov/Trong các quy trình tin tức bảo mật và nghiên cứu threat intelligence, việc kết hợp CVSS, EPSS, KEV, PoC và IOC trên một giao diện truy vấn thống nhất là điểm cốt lõi của CVE MCP Server. Điều này giúp chuẩn hóa cách đánh giá lỗ hổng CVE trong môi trường vận hành có nhiều cảnh báo đồng thời.
