Shodan MCP — это AI-инструмент для разведки интернет-подключенных устройств и анализа уязвимостей, который предоставляет LLM-моделям прямой доступ к поисковому движку Shodan и базе CVE. Он позволяет AI-ассистентам в реальном времени находить незащищенные серверы, исследовать IP-адреса, выполнять DNS-резолвинг и отслеживать уязвимости по CPE-идентификаторам — все через естественно-языковые запросы без ручного формирования API-вызовов.
Ключевые особенности:
Разведка IP-адресов и сервисов: AI-агент может получить полную информацию об IP-адресе, включая геолокацию, открытые порты, работающие сервисы, SSL-сертификаты и принадлежность к облачным провайдерам, предоставляя структурированный отчет с баннерами и тегами.
Поиск устройств по всему интернету: Позволяет AI выполнять сложные Shodan-запросы для обнаружения устройств по типу, уязвимости, географии или другим фильтрам, возвращая результаты с распределением по странам и детальными данными о каждом устройстве.
Интеллектуальный анализ уязвимостей: Предоставляет доступ к Shodan CVEDB для детального исследования CVE, включая CVSS-оценки, статус KEV, ассоциации с программами-вымогателями, затронутые продукты (CPE) и рекомендованные меры по снижению рисков.
Поиск CPE и уязвимых продуктов: Позволяет искать Common Platform Enumeration по названию продукта и находить все CVE, затрагивающие конкретные CPE, с фильтрацией по дате, KEV-статусу и сортировкой по EPSS-рейтингу для приоритизации рисков.
DNS-операции в прямом и обратном порядке: AI может массово резолвить доменные имена в IP-адреса и наоборот — находить все хосты, связанные с IP-адресами, что ускоряет картирование инфраструктуры.
Для кого: Ориентирован на пентестеров, аналитиков SOC, исследователей безопасности, баг-хантеров и специалистов по управлению поверхностью атаки (ASM), которым нужна мгновенная разведывательная информация об интернет-доступных устройствах и уязвимостях непосредственно в рабочем процессе AI-ассистента.
Сценарии использования:
Мониторинг внешнего периметра компании: Специалист просит AI “найди все открытые RDP-серверы в нашем диапазоне IP” и получает список потенциально уязвимых точек входа для немедленного реагирования.
Приоритизация уязвимостей по KEV и EPSS: AI по запросу “покажи все CVE для Apache с флагом KEV, отсортированные по EPSS” формирует список критических уязвимостей, которыми уже пользуются злоумышленники, помогая команде патч-менеджмента расставить приоритеты.
Разведка IP-адреса из алерта: Получив подозрительный IP из SIEM-алерта, аналитик просит AI сделать его полный ip_lookup, и агент возвращает геолокацию, список сервисов и связанные хосты для понимания контекста угрозы.
Поиск IoT-устройств в интернете: AI выполняет Shodan-поиск по запросу “product:MQTT country:RU” и находит все открытые MQTT-брокеры в стране, выявляя потенциальные утечки телеметрии.
Массовый резолвинг доменов: При анализе фишинговой кампании AI получает список подозрительных доменов и через dns_lookup мгновенно определяет IP-адреса, на которых хостятся мошеннические сайты.
Цены и доступность: Сервер является бесплатным open-source инструментом, распространяемым через npm. Для работы требуется валидный API-ключ Shodan; стоимость использования зависит от тарифного плана Shodan (существует бесплатный уровень с ограничениями, а также платные подписки для расширенного доступа к данным и снятия лимитов).
