Auditovali jsme 23 000 MCP serverů. Tady je, co jsme zjistili.
AgentForge Trust je živý. Každý veřejný MCP server je hodnocen v pěti dimenzích — bezpečnost, zdraví kódu, chování, komunita, compliance s EU. 23 402 serverů indexováno, 1 964 auditováno. Bezplatné veřejné API a npm balíček.
Problém
Ekosystém MCP explodoval v roce 2025 — a v roce 2026 je v něm přes 20 000 veřejných serverů na awesome-mcp-servers, mcp.so, glama.ai a nekonečně mnoha GitHub repozitářích. To je více nástrojů, než může lidé ověřit. Když se váš AI agent rozhodne připojit k random-financial-mcp@0.0.3 pro zpracování faktur, kdo ověřil, že neunikají vaše Stripe klíče?
Nikdo. Až dnes.
AgentForge Trust — živě nyní
Dnes spouštíme AgentForge Trust — první vrstvu auditování pro ekosystém MCP. Každý veřejný MCP server obdrží skóre Trust Score od 0 až 100 vypočítané přes pět nezávislých dimenzí:
| Dimenze | Váha | Signál |
|---|---|---|
| Security Scan | 30% | GitHub Advisory API, CVE závislostí, úniky tajemství ve zdrojovém kódu |
| Code Health | 20% | Nedávnost commitů, poměr problémů ke hvězdám, licence, archivovaný stav |
| Behavioral Audit | 20% | Kontrola zdrojového kódu pomocí Claude — co to opravdu dělá vs. tvrzení v README |
| Community Trust | 15% | Hvězdy (log-scale), forky, podpory organizací |
| EU Compliance | 15% | GDPR, AI Act připravenost, zveřejnění rezidence dat |
Čísla
- 23 402 MCP serverů indexováno z AgentForge, awesome-mcp-servers a glama.ai
- 1 964 auditováno na code_health + community_trust (91% dlouhého chvostu awesome-mcp sady)
- Security scany zavádějící se tento týden do všech indexovaných serverů
- Behavioral audity běžící na top 1 000 podle community skóre
Největší nálezy z prvního dne: skóre jsou vysoce bimodální. Top-100 serverů se shlukují na 85–100 celkově, zatímco dlouhý chvost ostře klesá pod 40. Střed je téměř prázdný. Průvodce podnikovým nákupem: nastavte min_overall: 70 a ztratíte 60% objemu, ale eliminujete téměř všechna rizika.
Čtyři způsoby, jak ho používat
1. Přístupová stránka /trust
Navštivte agentforge.community/trust pro živý žebřebřík a úplnou metodiku. Nejvyšší bodovači právě teď: mindsdb, bytedance/UI-TARS-desktop a několik oficiálních serverů Anthropic — všechny na 95+.
2. Veřejné API
Tři bez-aut endpointy:
GET /api/v1/trust?slug=…— úplný scorecard pro jeden serverPOST /api/v1/trust/evaluate— gate povolit/zakázat s vlastní zásadouGET /api/v1/trust/list?category=&min_trust=80— filtrovaný adresář
Cachováno na okraji, EU-hostováno, 300s TTL.
3. MCP nástroj
Zveřejneno dnes na npm:
npx -y agentforge-trust-mcpVhodyť do vaší Claude Desktop / Cursor / Foundry agentní konfigurace a váš agent dostane čtyři nové nástroje: check_trust, evaluate_policy, list_trusted, recommend. Agent může auditovat upstream server před připojením, odmítnout volání serverů pod prahem zásady nebo najít alternativy přirozeným jazykovým dotazem.
4. Enterprise policy dashboard
Přichází na podnikovou úroveň v Q3: definujte organizačně-šířkou zásady jako "pouze servery s ≥80 celkově, EU-licencované, bez značky secrets_leaked" — AgentForge Trust to vynucuje v čase zjišťování do všech agentů v zásobě.
Jak doplňuje Microsoft Foundry
Microsoft právě spustil Hosted Agents v Foundry — hypervisor-izolované sandboxes pro provozování agentů v podnikovém měřítku. Foundry řeší bezpečnost runtime agentů. AgentForge Trust řeší bezpečnost supply chain nástrojů. Jsou to doplňující vrstvy: agenta provozujete na Foundry, jeho zjišťování nástrojů filtrujete přes AgentForge Trust. Vhodyť agentforge-trust-mcp do Foundry Dockerfile a podniková zásada se stává jedním API voláním.
Částečné audity, čestná skóre
Většina serverů má dnes code_health + community_trust vyhodnoceno, zatímco security_scan a behavioral_audit se stále zavádějí. Netrpíme servery za nedokončené audity — skóre nadpisu je vážený průměr pouze nad dokončenými dimenzemi, hlášeno s partial: true. Když vidíte Částečný audit · 2/5 dimenzí v UI, je číslo, které vidíte, spravedlivé; prostě to ještě není komplexní.
Metodika je otevřená
Všechno je MIT-licencované a auditovatelné:
- zdrojový kód mcp-trust-server — npm balíček
- skory skriptů — ingest, code-health, security scan, behavioral audit
- migrace 036 — schéma trust_scores + funkce compute_overall_trust
Publikujeme náš rubrik, naše váhy a náš audit kód. Můžete nesouhlasit, forkovat nebo poslat lepší verzi — aktivně chceme PR na pravidlech skórování.
Co je dál
- Úplné security scany všech 23 402 serverů — hotovo do konce týdne
- Behavioral audity pro top 1 000 — běží nyní na Claude Sonnet 4.6
- mcp.so integrace — přidání jejich katalogu na top glama + awesome-mcp
- Podniková úroveň — vlastní zásady, audity na vyžádání, SSO — Q3 2026
- Podepsané atestace — Ed25519-podepsané trust zprávy, které si můžete ověřit offline
Vyzkoušejte nyní
Zvolte svůj vstupní bod:
- Navštivte přístupovou stránku: agentforge.community/trust
- Dotazujte API:
curl 'https://agentforge.community/api/v1/trust/list?min_trust=80&limit=10' - Instalujte MCP nástroj:
npx -y agentforge-trust-mcp
Ekonomika agentů není jen o tom, jaké nástroje existují. Je to o které nástroje si můžete dovolit důvěřovat. Dnes je to vyřešený problém.