VirusTotal MCP Server — это сервер контекстного протокола моделей (MCP), который предоставляет AI-ассистентам прямой доступ к данным VirusTotal для всестороннего анализа угроз кибербезопасности. Он позволяет в режиме реального времени проверять URL-адреса, файлы, IP-адреса и домены, автоматически обогащая отчеты данными о связях, поведении и вредоносной активности без необходимости рутинного переключения между инструментами.
Ключевые особенности:
Комплексные отчеты об угрозах: Автоматически собирает и структурирует данные о безопасности для файлов (по хешу), URL-адресов, IP-адресов и доменов. Каждый отчет дополняется информацией о связанных файлах, сетевых соединениях, DNS-записях, WHOIS и акторах угроз.
Анализ связей с пагинацией: Предоставляет выделенные инструменты для глубокого анализа конкретных типов связей исследуемого объекта. Поддерживает до 40 различных типов связей для файлов, 22 для URL-адресов и позволяет постранично загружать большие объемы связанных данных.
Поиск по корпусу данных: Позволяет выполнять свободный поиск по всей базе VirusTotal по файлам, URL-адресам, доменам и комментариям с использованием как простых индикаторов компрометации, так и продвинутого VTI-синтаксиса (например, type:peexe positives:5+).
Сводка поведения в “песочнице”: Консолидирует результаты анализа поведения файла из всех доступных “песочниц” в единое представление, включая процессы, сетевую активность, MITRE ATT&CK техники, сигнатуры IDS и другое.
Данные о группах угроз: Позволяет изучать объекты “Коллекций” (APT-группировки, вредоносные кампании, семейства ВПО) и получать связанные с ними индикаторы компрометации напрямую из отчетов.
Гибкое развертывание: Может работать как локально через stdio-транспорт, так и как централизованный HTTP-сервис для одновременного подключения нескольких AI-клиентов через Docker или npm.
Для кого: Ориентирован на специалистов по кибербезопасности, SOC-аналитиков, исследователей угроз и разработчиков, которые используют AI-ассистентов (Claude Desktop, VS Code Copilot, Gemini CLI) и хотят ускорить и автоматизировать процессы анализа вредоносного ПО, фишинговых ссылок и расследования инцидентов без написания скриптов.
Сценарии использования:
Оперативное исследование подозрительных URL-адресов, файлов и IP-адресов, полученных из алертов SIEM или почтовых вложений, прямо в интерфейсе AI-ассистента.
Автоматический поиск и обогащение индикаторов компрометации (IoC) в отчетах для быстрого понимания контекста угрозы.
Анализ поведения вредоносного ПО на основе сводных данных из “песочниц”, включая техники MITRE ATT&CK.
Расследование связей между вредоносными файлами, доменами и IP-адресами для картирования инфраструктуры злоумышленников.
Интеграция функций VirusTotal непосредственно в среду разработки для проверки сторонних библиотек и зависимостей.
Цены и доступность: Сервер распространяется как open-source проект под лицензией MIT на GitHub и устанавливается одной командой через npx. Для работы требуется бесплатный или платный API-ключ VirusTotal. Стоимость использования целиком зависит от тарифного плана подписки на VirusTotal API. Прямая установка и запуск самого MCP-сервера бесплатны.
