文章总结： 文章介绍了一款开源的HBC_SEC_MCP安全工具网关项目，基于MCP协议将传统命令行安全工具封装为标准化API服务，支持SQLMap扫描和通用命令执行，提供了完整的安装配置、API调用示例和工具开发指南，适用于AI安全助手和自动化安全测试场景。同时推广了好靶场网络安全实战平台的会员服务。 综合评分： 60 文章分类： 安全工具,AI安全,渗透测试,解决方案,产品介绍

---

【给你的AI插上翅膀】推荐一款非常好用的开源AI MCP

原创

小王 小王

好靶场

2026年3月11日 14:20 四川

.5

💡 好靶场

团队宗旨：我们立志于为所有的网络安全同伴制作出好的靶场，让所有初学者都可以用最低的成本入门网络安全。所以我们团队名称就叫“好靶场”。

我们承诺每天至少更新1-2个新靶场。2026年冲刺1000个。

• • 全球第一家以SRC报告为蓝图制作靶场的网络安全靶场平台。

• • 全球第一家引入AI靶场助教的网络安全靶场平台。

• • 14个不同方向靶场供你选择。

• • 代码审计+漏洞修复靶场全新上架。

• • 无门槛费，每次开启不扣除积分，不扣除金币，超级会员每天不限次数开启靶场。

• • 靶场独立，每个靶场环境完全隔离。

好靶场目前进度

730

靶场数量

200个

漏洞报告数量

项目地址：https://github.com/haobachang-1/HBC_SEC_MCP

本项目为好靶场开源的MCP框架，大家可以基于本项目开发自己的安全工具网关，实现自动化安全测试。

本项目是GPL 协议开源，欢迎大家 fork 和贡献。

HBC_SEC_MCP 是一个安全工具网关，将传统命令行安全工具包装为现代化的 MCP 服务。它实现了 MCP JSON-RPC 2.0 协议，让 AI 客户端能够以标准化的方式发现并调用安全测试能力。

思路参考：https://github.com/Wh0am123/MCP-Kali-Server

注意，切勿开放在公网，不使用execute_command功能删掉Tools里的command_exec_tool.py文件

核心技术栈

• • Flask – Web 服务框架，提供 HTTP API
• • MCP Protocol – Model Context Protocol 协议实现
• • SQLMap – 集成 SQL 注入检测工具
• • Python 3 – 主要开发语言

功能特性

已实现工具

| 工具名称 | 功能描述 | 调用方式 | | — | — | — | | sqlmap_scan | SQL 注入自动检测 | MCP / HTTP API | | execute_command | 通用命令执行 | MCP / HTTP API |

API 端点

| 端点 | 方法 | 功能 | | — | — | — | | / | GET/POST | MCP 主入口 / 服务信息 | | /api/tools/sqlmap | POST | 直接执行 SQLMap 扫描 | | /mcp/tools/HBC-Sec_mcp_tools/<tool> | POST | 统一工具调用入口 | | /health | GET | 健康检查 | | /mcp/capabilities | GET | 服务能力发现 |

快速开始

安装依赖

pip install -r requirements.txt

启动服务

# 默认启动
python server.py

# 指定端口和调试模式
python server.py --port 5000 --debug

# 绑定所有 IP
python server.py --ip 0.0.0.0 --port 8080

API 调用示例

SQLMap 扫描

curl -X POST http://localhost:5000/api/tools/sqlmap \
  -H "Content-Type: application/json" \
  -d '{
    "url": "http://example.com/vuln.php?id=1",
    "data": "username=test&password=test",
    "additional_args": "--level=2 --risk=1"
  }'

通用命令执行

curl -X POST http://localhost:5000/mcp/tools/HBC-Sec_mcp_tools/execute_command \
  -H "Content-Type: application/json" \
  -d '{
    "command": "nmap -sV 127.0.0.1"
  }'

MCP 协议调用

curl -X POST http://localhost:5000/ \
  -H "Content-Type: application/json" \
  -d '{
    "jsonrpc": "2.0",
    "id": 1,
    "method": "tools/call",
    "params": {
      "name": "sqlmap_scan",
      "arguments": {
        "url": "http://example.com/test.php?id=1"
      }
    }
  }'

项目结构

HBC_SEC_MCP/
├── server.py              # Flask 服务主入口
├── requirements.txt       # 项目依赖
├── .gitignore            # Git 忽略规则
├── README.md            # 项目说明文档
├── app/
│   ├── __init__.py
│   ├── config.py          # 配置常量
│   ├── mcp_protocol.py    # MCP 协议实现
│   ├── tool_dispatcher.py # 工具调度器
│   ├── command_executor.py # 命令执行封装
│   ├── logging_setup.py   # 日志配置
│   └── tools/
│       ├── __init__.py
│       ├── base_tool.py       # 工具基类
│       ├── sqlmap_tool.py     # SQLMap 集成
│       ├── command_exec_tool.py # 命令执行工具
│       └── _tool_template.py  # 新工具开发模板
└── log/                   # 运行日志目录

开发新工具

参考 app/tools/_tool_template.py 模板，继承 BaseTool 基类实现新工具：

from typing import Any, Dict
from .base_tool import BaseTool

class MyNewTool(BaseTool):
    name = "my_new_tool"
    description = "描述工具功能"
    input_schema = {
        "type": "object",
        "properties": {
            "param1": {"type": "string"},
        },
        "required": ["param1"],
    }

    def run(self, params: Dict[str, Any]) -> Dict[str, Any]:
        # 实现工具逻辑
        return {"success": True, "result": "执行结果"}

配置说明

编辑 app/config.py 修改服务配置：

• • API_PORT – 服务监听端口（默认：5000）
• • DEBUG_MODE – 调试模式开关
• • TOOL_SQLMAP_SCAN – SQLMap 工具名称常量

依赖要求

• • Python 3.8+
• • Flask >= 3.0.0
• • requests >= 2.31.0
• • mcp >= 1.0.0

使用场景

1. 1. AI 安全助手 – 让 AI 能够通过 MCP 协议调用安全工具
2. 2. 自动化安全测试 – 集成到 CI/CD 流程
3. 3. 安全工具编排 – 统一管理和调度多个安全工具

注意事项

• • 生产环境建议使用 --ip 127.0.0.1 限制本地访问。
• • 命令执行工具存在安全风险，请谨慎使用。
• • 确保系统中已安装 sqlmap 命令行工具。

开源协议

本项目仅供学习研究使用，请遵守相关法律法规。

好靶场介绍

零基础入门不迷茫！专属网络安全从零到一体系化训练——配套完整靶场+精选学习资料，帮你快速搭建网安知识框架，迈出入门关键一步！

全场景实战全覆盖！聚焦Web渗透工程师核心能力，深度拆解TOP10逻辑漏洞，精通PHP代码审计、Java代码审计等核心技能，从基础原理到实战攻防，覆盖行业高频应用场景！

真实漏洞场景沉浸式体验！src训练专题重磅上线——1:1还原真实漏洞报告，让你亲身感受实战挖洞流程，积累符合企业需求的实战经验！

有宝子就问了，主播主播，这么好的靶场怎么用：

首先关注好靶场

然后发送bug，可以点击链接直接登录

福利1：

找到个人中心，邀请码输入0482d6d28539424c，白嫖14天高级会员。

福利2：

关注好靶场bilibili。拿着关注截图找到客服，领取5积分或者7天高级会员。

~ 每日限免

    为了能让更多的宝子可以免费的开启会员靶场，我们会在工作日随机开放一些靶场的限免，还请加群关注。我们会以如下的方式在群里通知。

~ 内部群

加群不收费哈！！！交流群里会每天更新限免靶场，以及免费学习资料。

进一个群就可以，所有的通知都会通知到位

进交流群，请加我好友

喜欢玩QQ的宝子们可以加这个QQ群

~

AI客服内测ing

可以完成简单的客服能力，以及靶场推荐

会员订阅

首先点击会员订阅

#

#

然后选择对应的套餐

#

#

选择去支付

#

#

支付完成后即可会员到账

#

有什么好的建议可以在留言区评论哦

#

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：好靶场 小王 小王《【给你的AI插上翅膀】推荐一款非常好用的开源AI MCP》