EZ XBow Challenge MCP(モデルコンテキストプロトコル)サーバー

Security
EZ XBow Challenge MCP(モデルコンテキストプロトコル)サーバー

EZ XBow Challenge MCP(モデルコンテキストプロトコル)サーバー

AI駆動のペネトレーションテスト/CTF競技向けに設計された「モデル上下文プロトコル (MCP)」サーバー。LLM(大規模言語モデル)が自主的にCTFチャレンジへ参加できるよう、チャレンジ管理・知識ベース・隔離されたKaliコンテナ実行環境・試行履歴の永続化・複数通信プロトコル(stdio、SSE、HTTP/2)を備えたAPI群を提供します。kimi-cli-for-xbow等のクライアントと組み合わせて利用する想定で、エージェントワークフローへの組み込みも容易です。(約300字)

https://github.com/m-sec-org/ez-xbow-platform-mcp

概要

EZ XBow Challenge MCPは、AI(LLM)を用いた渗透(ペネトレーション)テスト競技やCTFチャレンジに特化した「モデル上下文プロトコル(MCP)」サーバー実装です。サーバーはチャレンジの一覧取得、解答の試行と提出、そして知識ベースや自動ノートによる試行履歴の管理をAPIとして提供します。隔離されたKaliコンテナでnmapやsqlmap、gobusterなどのツールを実行可能にし、LLMが外部ツールを駆使して自律的に問題を探索・攻略できる仕組みを備えています。開発言語はGoで、短いセットアップ手順でクライアントやエージェントに統合できます。

GitHub

リポジトリの統計情報

  • スター数: 5
  • フォーク数: 0
  • ウォッチャー数: 5
  • コミット数: 3
  • ファイル数: 7
  • メインの言語: Go

主な特徴

  • チャレンジ管理:チャレンジの一覧表示、挑戦、解答の提出をAPIで制御
  • 組み込み知識ベース:CTFで頻出する9カテゴリの脆弱性ドキュメントを内蔵
  • 分離された実行環境:Kaliベースの永続コンテナでセキュリティツールを実行
  • 複数ストリーミング対応:stdio、SSE(Server-Sent Events)、HTTP/2ストリームをサポート

技術的なポイント

EZ XBow MCPはGo製のAPIサーバーで、LLMエージェントが外部ツールを呼び出しつつCTFチャレンジに参加するための「仲介」役を担います。技術的には次のような観点が注目されます。

  • APIファースト設計:エンドポイントを通じてチャレンジの列挙・試行・提出を行えるため、CLI(例:kimi-cli-for-xbow)や独自エージェントから容易に統合できます。レスポンスのストリーミングにstd io、SSE、HTTP/2をサポートすることで、長時間実行するツールの出力をリアルタイムにLLMへ渡す運用を想定しています。
  • 実行分離と永続化:Kaliベースのコンテナを「永続的」に管理し、nmapやsqlmap等のツールを隔離環境で走らせます。これにより、LLMが自律的に外部スキャンやエクスプロイト試行を行っても、ホストリソースや機密情報を直接汚染しない設計が期待されます(実際の運用では更なるサンドボックス対策が必要)。
  • 知識ベースと試行履歴:9種類の脆弱性カテゴリに関する技術ドキュメントを組み込み、LLMの判断材料や自動ノートとして活用できます。試行履歴の永続化により、セッションをまたいだ発見の共有や再現が容易になります。
  • 拡張性と安全性:Goモジュール構成(go.mod)により依存管理が明確で、cmdディレクトリにCLI/サーバー起動コードを置く一般的な構造です。とはいえ、ネットワークツールやコンテナ実行を伴うため、実運用時はネットワーク制限・権限分離・ログ監査などを追加実装することが推奨されます。

リポジトリ自体は小規模で初期実装の段階ですが、MCPというプロトコル的な役割を備えた基盤としては有用です。ドキュメントの拡充、CIの導入、テストケースの整備、コンテナランタイムのより厳格なサンドボックス化などが今後の改善ポイントになります。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • LICENSE: file
  • README.MD: file
  • cmd: dir
  • go.mod: file

…他 2 ファイル

まとめ

LLMを用いた自律的なCTF挑戦を支援する軽量なMCPサーバーで、拡張性と実運用での安全対策を補えば有用な基盤となる。

リポジトリ情報: