// docs / mcp
MCP-сервер
Подключите FixWeb к Claude Desktop, Cursor или любому клиенту с поддержкой Model Context Protocol. Ваш AI-агент получает типизированный доступ к сканированиям, находкам и тем же шаблонным подсказкам исправлений, что питают кнопку Copy fix prompt в панели.
Создайте API-токен
Открой /account/api-tokens и создай token с именем, например claude-desktop. Скопируй plaintext value — оно показывается один раз.
Tokens — это bearer credentials: любой, у кого есть эта строка, может читать твои scans и запускать новые. Храни ее как пароль.
Направь MCP-клиент на /api/mcp
Claude Desktop / Cursor / Continue / Zed:
{
"mcpServers": {
"fixweb": {
"transport": "streamable-http",
"url": "https://fixweb.app/api/mcp",
"headers": {
"Authorization": "Bearer fxw_YOUR_TOKEN_HERE"
}
}
}
}Перезапусти client. Сервер fixweb должен появиться в его списке MCP servers.
Попробуй
Проси своего agent о таком:
- «Покажи мои последние 10 FixWeb scans.»
- «Покажи critical findings в самом свежем scan.»
- «Запусти passive scan для
https://staging.example.com.» - «Для каждой high-severity finding в scan X напиши fix.»
- «Есть ли открытые live-threat alerts по моим domains?»
- Введи
/fixweb-fixс finding id, чтобы вставить templated remediation prompt прямо в chat.
Инструменты
- list_scansчтение
- Возвращает до 100 самых свежих scans со status + finding counts. Args: limit?: 1..100.
- get_scanчтение
- Scan envelope + severity summary по категориям по умолчанию. Установи include_findings=true для полного отчета (большой для шумных scans — лучше list_findings + filters). Args: scan_id (uuid), include_findings?: boolean.
- list_findingsчтение
- Paginated findings по всем твоим scans. Args: severity?: list, check_id?, since? (ISO 8601), limit?: 1..200.
- start_scanзапись
- Enqueues a passive scan. Returns an id with status queued; poll get_scan to await completion. Owner-depth mode is gated behind on-site attestation and not exposed via MCP. Args: target (URL or hostname).
- list_alertsчтение
- Оповещения об угрозах в реальном времени (диффы CT-логов, изменения DNS, списки threat intel). Доступно только на плане Unlimited; планы Hobby и Pro возвращают пустой список. Аргументы: domain_id?, active_only?, limit?: 1..200.
- get_alertчтение
- Один alert с full payload (DNS diff, new certs, listing detail). Args: alert_id (uuid).
- dismiss_alertзапись · идемпотентно
- Пометить alert как dismissed. Idempotent — повторный dismiss ничего не меняет. Args: alert_id (uuid).
Ресурсы
Resources позволяют твоему client напрямую прикреплять данные FixWeb к беседе, вместо того чтобы agent заново загружал их на каждом turn. В Claude Desktop нажми menu @ → fixweb.
- fixweb://scan/{scan_id}/reportjson
- Полный отчет FixWeb scan, включая каждую check и каждую finding.
- fixweb://finding/{finding_id}json
- Одна finding (severity, title, description, evidence, remediation, CWE).
Slash-команды
- /fixweb-fixprompt
- Рендерит templated remediation prompt для finding. Определяет framework codebase по tech-fingerprint scan и добавляет framework-specific advice, когда оно доступно; иначе откатывается к generic recipe. Args: finding_id (uuid). Без вызова Claude API — шаблонится на сервере.
→ Квоты, RLS и severity gating одинаково применяются к вызовам MCP и REST.