Lilith Shell

AI 어시스턴트에게 로컬 셸 명령 실행 기능을 제공하는 실험용 MCP 서버입니다.

현재 상태

이 저장소는 보안 셸 서버가 아닌 프로토타입으로 취급되어야 합니다.

현재 구현된 내용은 호출자가 제공한 명령 문자열을 subprocess.run(..., shell=True)를 통해 실행하는 execute_command라는 하나의 MCP 도구를 노출합니다. 이 도구는 5분의 고정 시간 제한을 가지며, stdout과 stderr을 캡처하고 선택적으로 작업 디렉토리를 허용합니다. 현재 이 README에서 이전에 설명한 보안 제어 기능은 구현되어 있지 않습니다.

권장 프로필 작업: 보안 모델이 재구축되고 테스트될 때까지 이 저장소를 보관하거나 고정 해제하십시오.

Related MCP server: Terminal MCP Server

보안 경고

자격 증명, 프로덕션 데이터, 개인 소스 코드, SSH 키, 클라우드 토큰 또는 기타 민감한 자료가 포함된 호스트, 계정 또는 디렉토리에서 이 도구를 실행하지 마십시오.

현재 코드의 알려진 결함:

• 명령 허용 목록 또는 차단 목록 적용 없음

• 엄격(strict), 허용(permissive) 또는 잠금(lockdown) 모드 없음

• 작업 디렉토리 경계 제한 없음

• 환경 필터링 없음

• 출력 살균(sanitization) 없음

• 감사 로그 없음

• 구성을 통한 셸 선택 없음

• 스트리밍 출력 없음

• Windows 전용 실행 경로 없음

• 신뢰할 수 없는 도구 입력에 shell=True 사용

이러한 결함으로 인해 이 프로젝트는 프로덕션 환경에서 사용하기에 부적합하며 일반 개발자 워크스테이션에서도 위험합니다.

현재 작동하는 기능

이 MCP 서버는 하나의 도구를 등록합니다:

• execute_command

  • 입력: command 문자열

  • 선택적 입력: directory 문자열 (기본값 ~)

  • 동작: 요청된 디렉토리에서 명령을 실행하고 종료 코드, stdout, stderr을 반환합니다.

제외된 기능

이전 README에서는 명령 허용 목록, 위험 명령 탐지, 구성 가능한 모드, 출력 살균, 감사 로깅, 작업 디렉토리 제한, 크로스 플랫폼 셸 선택 및 스트리밍 출력을 지원한다고 주장했습니다. 이러한 기능은 현재 소스 트리에는 존재하지 않습니다.

재배포 전 최소 패치 계획

보안 지향 MCP 서버로 제시되기 전에 다음 사항이 필요합니다:

1. shell=True 문자열 실행을 argv 기반 실행으로 교체.

2. 명시적인 명령 허용 목록을 포함하여 기본적으로 필수적인 엄격 모드 추가.

3. 모든 명령 실행 전 구성된 작업 공간 루트를 정규화하고 강제 적용.

4. 명령 구문 분석, 차단된 명령, 경로 탐색, 심볼릭 링크 탈출, 시간 제한 동작 및 출력 제한에 대한 테스트 구축.

5. 반환된 출력에서 일반적인 비밀 패턴을 삭제(Redact).

6. 대규모 명령이 메모리를 소진하거나 MCP 응답을 넘치게 하지 않도록 제한된 출력 처리 추가.

7. 타임스탬프, 작업 디렉토리(cwd), 종료 코드 및 차단 이유가 포함된 감사 가능한 명령 로그 추가.

8. 지원되는 셸, 플랫폼 및 위협 경계를 정확하게 문서화.

개발

pip install -e ".[dev]"
pytest

라이선스

MIT

Maintenance

Resources

• GitHub Repository
Need Help?Related Servers