AI가 만든 웹앱의 보안 취약점을 무료로 스캔하는 로컬 MCP 도구
CodeInspectus는 AI 코딩 어시스턴트가 만든 웹앱을 검사하는 로컬 실행형 보안 스캐너다. AI가 코드를 짜다 보면 노출된 API 키, 과도하게 허용적인 정책, 모델 출력을 안전하지 않게 처리하는 방식, 프롬프트 인젝션 경로 같은 문제가 조용히 섞여 들어갈 수 있다. 이 도구는 Opengrep, Gitleaks, Trivy를 결합하고 여기에 AI가 만든 앱에 특화된 / 검사를 추가했다.
한 번 엔진을 설치하고 나면 이후 스캔은 계정 가입이나 원격 전송 없이 완전히 로컬에서 실행되고, 를 지원하는 AI 에이전트와 연동해 소스코드를 외부 서비스로 보내지 않고도 검사할 수 있다. 스캐너는 읽기 전용으로 문제를 보고만 하며, 실제 코드 수정은 코딩 에이전트가 제안하고 사용자가 승인하는 방식이다. 개발자는 예전에 예시로만 보여줬던 결과를 실제로 재현 가능한 취약한 코드 샘플과 리포트로 교체했고, v0.3.1 버전 실행에서는 21개의 원시 엔진 결과를 정리해 18개의 실제 발견 항목으로 압축했다고 밝혔다.
리포트에는 모든 발견 항목, 엔진 버전, 중복 제거 내역, Trivy 데이터베이스의 갱신 시점까지 담겨 있다. 다만 개발자 스스로도 이 도구가 정식 보안 감사나 인증을 대체하지는 않는다고 밝혔고, 로 무료 배포되며 유료 요금제는 없다.
핵심 포인트
- 무료 도구, 유료 요금제 없음
- Opengrep+Gitleaks+Trivy를 결합해 AI가 만든 JS/TS 앱 특화 검사 수행
- 한 번 엔진 설치 후엔 계정·원격 전송 없이 완전 로컬 실행
- MCP 호환 에이전트와 연동 가능, 읽기 전용(수정은 에이전트가 제안, 사용자가 승인)
- 공식 감사·인증 대체 불가라고 메이커 스스로 명시