jshookmcp

jshookmcp

vmoranvAGPL-3.0
1.6k звёзд425 форков
Jshookmcp — это MCP-сервер для JavaScript-анализа, аудита безопасности и реверс-инжиниринга. Он даёт ИИ-ассистентам доступ к 402 инструментам, сгруппированным в 36 функциональных доменов. Сервер подходит пентестерам, реверс-инженерам и разработчикам, которые проверяют безопасность веб-приложений и анализируют вредоносный код. В отличие от узкоспециализированных решений, jshookmcp покрывает полный цикл анализа: от запуска браузера с защитой от обнаружения до дизассемблирования WASM и анализа памяти процессов. Всё работает через Model Context Protocol без глобальной установки.
BrowserProductivitySecurity
Открыть на GitHub

Установка

npx -y @jshookmcp/jshook

Характеристики

Общее

  • СтатусСообщество
  • Разработчикvmoranv
  • ЛицензияAGPL-3.0

Технологии

  • Языки
    TypeScript
  • Транспорт
    stdio

Описание

Возможности

  • Анализ JavaScript с помощью LLM: деобфускация кода, определение криптомайнеров, восстановление логики скрытых скриптов.
  • Автоматизация браузера: управление Chromium и Camoufox через CDP, обход CAPTCHA, антидетект-техники.
  • Перехват трафика: работа с HTTP/2, сборка фреймов, перехват GraphQL-запросов, интеграция с Burp Suite.
  • Реверс-инжиниринг: дизассемблирование WASM, бинарный анализ, мосты к Frida, Ghidra и IDA Pro.
  • Форенсика процессов и памяти: сканирование через FFI, аппаратные точки останова, интроспекция PE-файлов.
  • Три уровня профилей: search (~3K токенов), workflow и full (~40K токенов). Профили активируются по запросу, не расходуя контекст попусту.
  • Мета-инструменты: describe_tool, call_tool, coverage_report. Они снижают количество ошибок в параметрах и отслеживают покрытие инструментов.
  • Динамические плагины с горячей перезагрузкой и декларативные рабочие процессы.
  • Изоляция сессий и восстановление состояния браузера при сбоях.

Как подключить

Глобальная установка не требуется. Достаточно добавить запись в конфигурацию вашего MCP-клиента.

1. Откройте файл конфигурации. Для Claude Desktop это claude_desktop_config.json.

2. Добавьте сервер в секцию mcpServers:

{ "mcpServers": { "jshook": { "command": "npx", "args": ["-y", "@jshookmcp/jshook@latest"], "env": { "JSHOOK_BASE_PROFILE": "search" } } } }

3. Перезапустите клиент. Сервер загрузится автоматически.

Обратите внимание: на Windows может потребоваться указать полный путь к npx.cmd.

Примеры запросов

  • «Проверь этот JavaScript-файл на наличие обфусцированного кода. Если есть, попробуй восстановить его логику и объясни, что он делает.»
  • «Запусти браузер, открой сайт example.com и перехвати все XHR-запросы. Покажи содержимое каждого запроса и ответа.»
  • «Найди в памяти процесса все строки, содержащие "password" или "secret". Выведи их в консоль.»
  • «Загрузи WASM-модуль из этого приложения, дизассемблируй его и расскажи, какие функции он импортирует из окружения.»

Технические детали

  • Язык: TypeScript (строгий режим)
  • Версия Node: 22.12+
  • Транспорт: stdio
  • Лицензия: AGPL-3.0
  • Установка: через npx (пакет @jshookmcp/jshook)
  • Совместимость: Claude Desktop, Cursor, любые MCP-клиенты

Поделиться