• 基于 Docker 容器的 MCP 服务器管理,实现隔离运行与高效部署
• 统一网关接口,简化多客户端(VS Code、Cursor、Claude Desktop 等)接入,确保配置一致性
• 集成 Docker Desktop 秘钥管理,杜绝环境变量泄露,保障 API 密钥和凭证安全
• 支持 OAuth 认证流程,轻松接入需授权服务
• 动态发现和配置 MCP 工具、资源及提示,提升开发灵活性与扩展性
• 内置日志与调用追踪,方便监控和调试
• 兼容 Docker Desktop MCP Toolkit,独立 CLI 插件模式灵活使用
• 通过配置文件集中管理服务器目录、工具和策略,提升长期维护效率
为 AI 应用搭建稳定、可控的数据接入层,助力生产环境快速集成与安全管理。
• 多租户架构,轻松部署PBX功能
• 丰富的语音应用指令集:接听、挂机、播放音频、DTMF处理、文本转语音、录音、静音等
• NodeJS SDK,简化调用流程,API优先设计,几行代码即可发起通话
• 支持OAuth2与JWT认证,内置RBAC权限控制,保障安全性
• 集成Google语音API,支持Amazon S3存储,命令行工具支持插件扩展
• 开源社区活跃,上千星标,支持Docker一键部署,适合长期可持续运营
相比自行搭建,Fonoster降低维护复杂度,避免“自研陷阱”,兼顾自由度与稳定性。
• 攻击利用了开发者在赶项目时的信任漏洞,恶意扩展伪装正规,拥有5.4万+下载量,来自官方Open VSX源。
• 安装后数分钟内,扩展偷偷读取.env文件并将私钥发送至攻击者服务器,3天后钱包被清空。
• 损失受限于严格的OpSec习惯:硬件钱包存主资、热钱包仅做测试,分项目隔离资金,避免一网打尽。
• 攻击特点:纯JavaScript跨平台(Mac/Linux/Win),无系统级恶意软件,静默执行无异常提示。
• 关键漏判点:发布者名称细微差异(“contractshark” vs “juanblanco”)、无GitHub链接、下载多但无评论、近期发布,典型typosquatting手法。
• 建议立即检查Cursor扩展列表、信任发布者状态,移除可疑扩展,杜绝私钥存.env文件,推行硬件钱包唯一签名策略,使用隔离开发环境及加密密码库。
• 遭遇风险非复杂高级攻击,而是一瞬间的警觉放松和信任错判,凸显个人OpSec比代码安全更易成短板。
• 受害者呼吁社区普遍审计扩展、分享安全经验,推动透明讨论“失败案例”,以防止更多开发者中招。
