ghidra-mcpAI 驅動的逆向工程工具包

逆向工程是安全研究中的硬骨頭，尤其面對大型二進位制檔案時，人工分析效率低下。ghidra-mcp 專案的出現，正試圖用 AI 和自動化工具鏈來改變這一局面。它不是一個獨立的逆向工具，而是為 Ghidra 量身打造的 MCP（Model Context Protocol）伺服器，提供了超過 200 個可直接呼叫的工具，讓 AI 模型能夠與 Ghidra 深度互動，輔助完成程式碼分析、漏洞發現等任務。

核心功能與架構

ghidra-mcp 的設計兼顧了互動式和自動化場景。它包含一個 GUI 外掛，可直接嵌入 Ghidra 介面，方便手動操作；同時提供一個 無頭伺服器（headless server），適合批量處理和持續整合流程。工具載入採用 延遲載入機制，只在需要時初始化，避免資源浪費。專案還內建了 約定執行引擎，可以自動應用預設的分析規則，減少重複勞動。

• 200+ MCP 工具：涵蓋反彙編、資料流追蹤、函式識別、交叉引用等常見逆向操作。
• 批量操作與指令碼化：支援對多個二進位制檔案批量執行分析任務，結果可匯出。
• Ghidra Server 整合：可與遠端 Ghidra Server 配合，實現團隊協作和集中管理。
• Docker 部署：提供官方 Docker 映象，一條命令即可啟動完整環境，降低配置門檻。

適用場景與典型用法

對於從事 漏洞研究 或 惡意軟體分析 的工程師來說，ghidra-mcp 能顯著縮短分析週期。例如，當你需要對一批未知韌體進行快速函式識別，可以編寫簡單的 AI 提示詞，讓模型自動呼叫 ghidra-mcp 的 函式簽名匹配 和 呼叫圖生成 工具，數分鐘內即可獲得初步結論。對於教學場景，它也能作為 半自動化分析示範平臺，幫助新手理解逆向流程。

「把 AI 模型嵌入逆向工作流，並不是要替代分析師，而是讓他們更專注在邏輯推理上。」——專案文件中的核心理念

上手建議與注意事項

首先，確保你已安裝 Ghidra 10.x 以上版本和 Java 17+。如果只是快速體驗，推薦使用 Docker 方式：docker run -p 8192:8192 bethington/ghidra-mcp。之後即可通過任何 MCP 客戶端（如 Claude、Cursor）連線使用。需要注意，ghidra-mcp 的 授權依賴於 Ghidra 自身的協議，專案本身採用 Apache 2.0 開源許可。另外，由於工具數量龐大，初次載入時可能需要幾秒鐘快取。

總的來說，ghidra-mcp 是當前將 AI 與逆向工程結合得最完整的開源方案之一。它把 Ghidra 的強大底層能力通過標準 MCP 介面暴露給 AI 模型，既保留了經典逆向工具的可靠性，又引入了智慧化協同的可能性。對於想要提升逆向效率的團隊或個人，值得一試。