FixWeb

// docs / mcp

MCP-Server

Verbinde FixWeb mit Claude Desktop, Cursor oder jedem Client, der das Model Context Protocol spricht. Dein KI-Agent erhält typisierten Zugriff auf deine Scans, Funde und dieselben vorlagenbasierten Fix-Prompts, die auch den Button zum Kopieren des Fix-Prompts im Dashboard antreiben.

01

API-Token erstellen

Besuche /account/api-tokens und erstelle einen Token mit einem Namen wie claude-desktop. Kopiere den Klartextwert; er wird einmal angezeigt.

Tokens sind Bearer-Zugangsdaten: Jeder mit diesem String kann deine Scans lesen und neue starten. Speichere ihn wie ein Passwort.

02

MCP-Client auf /api/mcp zeigen lassen

Claude Desktop / Cursor / Continue / Zed:

{
  "mcpServers": {
    "fixweb": {
      "transport": "streamable-http",
      "url": "https://fixweb.app/api/mcp",
      "headers": {
        "Authorization": "Bearer fxw_YOUR_TOKEN_HERE"
      }
    }
  }
}

Starte den Client neu. Der fixweb-Server sollte in seiner MCP-Serverliste erscheinen.

03

Ausprobieren

Frag deinen Agenten zum Beispiel:

  • „Liste meine letzten 10 FixWeb-Scans auf.“
  • „Zeig mir die kritischen Funde des neuesten Scans.“
  • „Starte einen passiven Scan gegen https://staging.example.com.“
  • „Schreib für jeden High-Severity-Fund auf Scan X einen Fix.“
  • „Gibt es offene Live-Threat-Alerts auf meinen Domains?“
  • Tippe /fixweb-fix mit einer Finding-ID, um den vorlagenbasierten Behebungs-Prompt direkt in den Chat zu legen.

Tools

list_scansread
Gibt bis zu 100 der neuesten Scans mit Status + Fundzahlen zurück. Args: limit?: 1..100.
get_scanread
Standardmäßig Scan-Envelope + Severity-Zusammenfassung pro Kategorie. Setze include_findings=true für den vollständigen Bericht (groß bei lauten Scans; bevorzuge list_findings + Filter). Args: scan_id (uuid), include_findings?: boolean.
list_findingsread
Paginierte Funde über alle deine Scans. Args: severity?: list, check_id?, since? (ISO 8601), limit?: 1..200.
start_scanwrite
Enqueues a passive scan. Returns an id with status queued; poll get_scan to await completion. Owner-depth mode is gated behind on-site attestation and not exposed via MCP. Args: target (URL or hostname).
list_alertsread
Live-Bedrohungsalarme (CT-Log-Diffs, DNS-Änderungen, Threat-Intel-Listings). Nur im Unlimited-Plan verfügbar; der Hobby- und der Pro-Plan geben eine leere Liste zurück. Args: domain_id?, active_only?, limit?: 1..200.
get_alertread
Einzelner Alert mit vollständigem Payload (DNS diff, neue Zertifikate, Listing-Details). Args: alert_id (uuid).
dismiss_alertwrite · idempotent
Markiert einen Alert als verworfen. Idempotent: erneutes Verwerfen ist ein No-op. Args: alert_id (uuid).

Ressourcen

Ressourcen lassen deinen Client FixWeb-Daten direkt in die Unterhaltung einhängen, statt dass der Agent sie bei jedem Turn neu abruft. Klicke in Claude Desktop auf das @-Menü → fixweb.

fixweb://scan/{scan_id}/reportjson
Vollständiger FixWeb-Scanbericht mit jedem Check und jedem Fund.
fixweb://finding/{finding_id}json
Ein einzelner Fund (Severity, Titel, Beschreibung, Evidence, Behebung, CWE).

Slash-Commands

/fixweb-fixprompt
Rendert einen vorlagenbasierten Behebungs-Prompt für einen Fund. Erkennt das Framework der Codebase aus dem Tech-Fingerprint des Scans und fügt framework-spezifische Hinweise ein, wenn verfügbar; fällt sonst auf ein generisches Rezept zurück. Args: finding_id (uuid). Kein Claude API call: serverseitig templated.

→ Kontingente, RLS und Severity-Gating gelten für MCP- und REST-Aufrufe identisch.

MCP-Server — Docs · FixWeb