Run — security-audit mcp-papierkram (Daily 8/10)
Pilot-Audit fuer Projekt public-mcp-audits (Phase 1). Erster Lauf des security-audit-Skills gegen eigenes MCP mit Public-Report-Intent.
Ergebnis
| Severity | Count |
|---|---|
| CRIT | 0 |
| HIGH | 0 |
| MED | 3 |
| LOW | 0 |
Keine Eskalation. Keine Fix-Pflicht aus Daily-Sicht. Drei MEDs sollten vor einem Public-Audit-Release behoben sein, Aufwand ~1.5h.
Outputs
- Raw-Audit-Report (intern, technisch): 2026-05-papierkram-audit-raw
- Public-Draft (interner Draft im Public-Report-Format): 2026-05-papierkram-audit-draft
- Baseline-JSON (Regression-Diff fuer naechsten Lauf): baseline.json
Methodik
13 Phasen des security-audit-Skill, schnell-Modus (Konfidenz-Gate 8/10). Reine Code-Trace, keine Live-API-Calls.
Top-3 Naechste Schritte
- F1 fixen:
uv lockausfuehren, committen, mcp-vf-hosted Docker-Build auf--frozenumstellen. - F2 fixen: Default
PAPIERKRAM_EXPOSE_RAW=false(1-Zeilen-Aenderung). - F3 fixen: Bind-Sanity-Warn-Log in
main().
Reihenfolge nach Marvin-Entscheidung. Alternative: Phase 2 (Pattern-File) zuerst, damit der Public-Report-Standard steht bevor remediation-Welle laeuft.
Cross-Ref
- Cross-Repo-Tracker (wachsende Liste aller MCP-Audit-Findings): mcp-audit-findings-cross-repo — Vergleich mit folgenden Audits + Skeleton-Lessons-Tabelle
- Letzter Voll-Lauf (Vault + alle Repos): report
- Projekt: _index