小程序 AI 渗透新工具MCP！打通调试与安全检测、网络抓包、接口分析、越权检测一站式实现

0x01 工具介绍wmpf-mcp-bridge 是一款开源本地 MCP 桥接服务专为微信小程序安全评估打造。它可将 WMPFDebugger 的 CDP 调试能力封装为标准化 MCP 工具赋能 ClaudeCode、Codex 等 AI 助手自动完成小程序网络抓包、接口采集、运行时快照、权限与越权线索筛查、敏感数据探测等工作。工具仅本地监听、自带安全防护机制拦截高危操作全程被动取证可快速生成接口清单与全审计笔记是小程序渗透与合规测试的高效辅助利器。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心能力AI 联动赋能一键自动化审计完美适配 ClaudeCode、CLI、Codex、VS Code Agent 等主流 AI 助手无需手动复杂操作通过指令即可自动完成小程序页面检测、请求采集、风险筛查大幅降低人工复盘成本。全方位网络与运行时取证支持劫持 wx.request、fetch、XHR 全网请求自动汇总所有接口流量可采集页面运行时快照、DOM 结构、本地存储、可交互元素完整还原小程序前端运行逻辑。智能化漏洞线索筛查内置多项检测能力可自动识别越权接口、敏感数据泄露、文件上传点位、支付订单链路、签名校验机制、后台调试入口等风险线索仅输出验证建议不妄下漏洞结论贴合合规测试流程。前端状态分析与复原支持读取 Vuex 状态、快照保存、状态篡改测试与一键复原方便测试前端权限绕过、状态篡改等业务逻辑漏洞且默认只读模式高危操作需手动确认安全性极高。一键生成审计资料可自动导出会话证据、生成标准化接口清单、Markdown 安全评估笔记清晰记录测试线索与人工验证方案适配报告编写、复盘归档场景。0x03 更新介绍全局并发上限参数优化0x04 使用介绍安装与使用指南npm installnpm run dev也可以指定固定 token$env:MCP_TOKENyour-local-tokennpm run dev启动后访问根路径查看当前 MCP URLhttp://127.0.0.1:43827/默认 MCP URLhttp://127.0.0.1:43827/mcp?tokenwmpf-local-token配置[mcp_servers.wmpf] enabled true url http://127.0.0.1:43827/mcp?tokenwmpf-local-token startup_timeout_sec 20 tool_timeout_sec 60建议测试提示词使用 wmpf MCP先调用 status然后 connect_wmpf 连接 ws://127.0.0.1:62000。 随后调用 hook_wx_request 和 hook_fetch_and_xhr打开当前小程序页面并操作关键业务流程。 再调用 dump_runtime_snapshot、get_all_requests、get_api_inventory、analyze_auth_surface、find_idor_candidates、find_sensitive_data_exposure、find_upload_surfaces、find_payment_and_order_surfaces、find_sign_related_requests。 请基于证据生成 generate_security_notes只输出发现线索和人工验证建议不直接下漏洞结论。下载方式渗透安全HackTwo⬇️⬇️回复20260529获取下载⬇️⬇️