// docs / mcp
MCP 伺服器
把 FixWeb 接到 Claude Desktop、Cursor,或任何支援 Model Context Protocol 的 client。你的 AI agent 會取得掃描、發現項目,以及儀表板 Copy fix prompt 按鈕所使用的同一套範本化修復提示的型別化存取。
01
建立 API token
前往 /account/api-tokens,建立一個 token,例如命名為 claude-desktop。複製明文值;它只會顯示一次。
Tokens 是 bearer credentials:任何持有該字串的人都能讀取你的掃描並啟動新掃描。請像密碼一樣保存。
02
把你的 MCP client 指向 /api/mcp
Claude Desktop / Cursor / Continue / Zed:
{
"mcpServers": {
"fixweb": {
"transport": "streamable-http",
"url": "https://fixweb.app/api/mcp",
"headers": {
"Authorization": "Bearer fxw_YOUR_TOKEN_HERE"
}
}
}
}重新啟動 client。fixweb server 應該會出現在它的 MCP server list。
03
試用看看
你可以這樣問你的 agent:
- 「列出我最近 10 次 FixWeb 掃描。」
- 「顯示最近一次掃描中的 critical findings。」
- 「對
https://staging.example.com啟動一次 passive scan。」 - 「針對 scan X 中每個 high-severity finding,寫出修復方式。」
- 「我的 domains 有任何 open live-threat alerts 嗎?」
- 輸入
/fixweb-fix搭配 finding id,就能把範本化修復提示直接放進聊天。
Tools
- list_scansread
- 回傳最多 100 筆最近掃描,包含 status + finding counts。Args: limit?: 1..100。
- get_scanread
- 預設回傳 scan envelope + 各類別嚴重度摘要。設定 include_findings=true 可取得完整報告(雜訊多的掃描可能很大;建議使用 list_findings + filters)。Args: scan_id (uuid), include_findings?: boolean。
- list_findingsread
- 跨你所有掃描的 paginated findings。Args: severity?: list, check_id?, since? (ISO 8601), limit?: 1..200。
- start_scanwrite
- Enqueues a passive scan. Returns an id with status queued; poll get_scan to await completion. Owner-depth mode is gated behind on-site attestation and not exposed via MCP. Args: target (URL or hostname).
- list_alertsread
- 即時威脅警示(CT 日誌差異、DNS 變更、威脅情報列表)。僅在 Unlimited 方案可用;Hobby 與 Pro 方案回傳空列表。參數:domain_id?、active_only?、limit?:1..200。
- get_alertread
- 單一 alert 與完整 payload(DNS diff、new certs、listing detail)。Args: alert_id (uuid)。
- dismiss_alertwrite · idempotent
- 將 alert 標記為 dismissed。Idempotent;重複 dismiss 不會有作用。Args: alert_id (uuid)。
Resources
Resources 可讓你的 client 直接把 FixWeb data 附加到對話中,而不是每一輪都讓 agent 重新擷取。在 Claude Desktop 中,點擊 @ menu → fixweb。
- fixweb://scan/{scan_id}/reportjson
- 完整 FixWeb scan report,包含每個 check 和每個 finding。
- fixweb://finding/{finding_id}json
- 單一 finding(severity、title、description、evidence、remediation、CWE)。
Slash commands
- /fixweb-fixprompt
- 為 finding 渲染範本化修復提示。會從掃描的 tech-fingerprint 偵測 codebase framework,並在可用時注入框架特定建議;否則退回通用配方。Args: finding_id (uuid)。不呼叫 Claude API;在伺服器端套範本。
→ 配額、RLS 與嚴重度 gating 會同樣套用於 MCP 與 REST 呼叫。