Lilith Shell

Экспериментальный MCP-сервер, предоставляющий ИИ-ассистенту возможность выполнения локальных команд оболочки.

Текущий статус

Этот репозиторий следует рассматривать как прототип, а не как безопасный сервер оболочки.

Текущая реализация предоставляет один инструмент MCP, execute_command, который запускает предоставленную вызывающей стороной строку команды через subprocess.run(..., shell=True). Он имеет фиксированный тайм-аут в пять минут, захватывает stdout и stderr и принимает необязательный рабочий каталог. В настоящее время он не реализует средства контроля безопасности, описанные ранее в этом файле README.

Рекомендуемое действие: заархивируйте или открепите этот репозиторий до тех пор, пока модель безопасности не будет перестроена и протестирована.

Related MCP server: Terminal MCP Server

Предупреждение о безопасности

Не запускайте его на хосте, учетной записи или в каталоге, содержащем учетные данные, рабочие данные, закрытый исходный код, SSH-ключи, облачные токены или другие конфиденциальные материалы.

Известные пробелы в текущем коде:

• Отсутствие принудительного применения белого или черного списка команд

• Отсутствие строгих, разрешительных или блокирующих режимов

• Отсутствие контроля границ рабочего каталога

• Отсутствие фильтрации среды

• Отсутствие очистки вывода

• Отсутствие журнала аудита

• Отсутствие выбора оболочки через конфигурацию

• Отсутствие потокового вывода

• Отсутствие пути выполнения, специфичного для Windows

• shell=True используется с ненадежным вводом инструмента

Эти пробелы делают проект непригодным для использования в рабочей среде и рискованным даже на обычной рабочей станции разработчика.

Что работает сегодня

MCP-сервер регистрирует один инструмент:

• execute_command

  • входные данные: строка command

  • необязательные входные данные: строка directory, по умолчанию ~

  • поведение: выполняет команду в запрошенном каталоге и возвращает код выхода, stdout и stderr

Что было исключено из области действия

В предыдущем README заявлялась поддержка белых списков команд, обнаружение опасных команд, настраиваемые режимы, очистка вывода, ведение журнала аудита, ограничение рабочего каталога, кроссплатформенный выбор оболочки и потоковый вывод. Эти возможности отсутствуют в текущем дереве исходного кода.

План минимальных исправлений перед повторной публикацией

Прежде чем это можно будет представить как MCP-сервер, ориентированный на безопасность:

1. Заменить выполнение строки shell=True на выполнение на основе argv.

2. Добавить обязательный строгий режим по умолчанию с явными белыми списками команд.

3. Канонизировать и принудительно применять настроенный корень рабочей области перед каждой командой.

4. Создать тесты для синтаксического анализа команд, заблокированных команд, обхода путей, побегов через символические ссылки, поведения тайм-аута и ограничений вывода.

5. Удалять шаблоны общих секретов из возвращаемого вывода.

6. Добавить обработку ограниченного вывода, чтобы большие команды не могли исчерпать память или переполнить ответы MCP.

7. Добавить проверяемые журналы команд с метками времени, текущим рабочим каталогом (cwd), кодом выхода и причиной блокировки.

8. Точно задокументировать, какие оболочки, платформы и границы угроз поддерживаются.

Разработка

pip install -e ".[dev]"
pytest

Лицензия

MIT

Maintenance

Resources

• GitHub Repository
Need Help?Related Servers