本篇文章更新時間:2026/02/05
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
Ghidra MCP Server:AI 驅動逆向工程的新時代
副標題:把 Ghidra 的深度分析能力完整帶入現代 AI 工具的那座橋
編輯前言:如果你曾想把 Ghidra 這種重量級逆向分析工具融入 AI 工作流,但又苦於缺乏穩定、完整的介面,這份專案正好解決這件事。它不只是 API 包裝,而是一個真正「可上線」、能支撐自動化流程的 MCP Server。
核心觀點 (Key Takeaways)
- Ghidra MCP Server 打造了「完整的 Model Context Protocol 實作」,等於讓任何 AI 模型都能直接操作 Ghidra。
- 110 個工具覆蓋逆向工程的主要需求:函式、資料型別、交叉參考、記憶體分析、跨版本文件同步等。
- 專案強調「生產級」:原子交易、批次操作(API 呼叫減少 93%)、自動部署、70+ Ghidra Scripts。
深入解析
這份來自 GitHub 的專案 GitHub - bethington/ghidra-mcp 看似是一個普通的 MCP server,但實際讀下來,我發現它的定位更接近「AI 逆向工程平台的基建」。作者讓 Ghidra 的功能透過 MCP 標準化暴露,使得像 Claude 這類 AI 工具不再是單純閱讀文字,而能真正直接操作逆向工作流程。
引用原文一句話描述得很精準:
A production-ready Model Context Protocol (MCP) server that bridges Ghidra's powerful reverse engineering capabilities with modern AI tools.
換句話說,這不是玩具級工具,而是一個可被自動化框架使用、可重複執行、可快速回應的正式介面。
- 完整的 MCP 能力映射:從連線檢查、程式資訊、版本到函式搜尋、解構、交叉參考,甚至呼叫圖完整抽取。
- 二進位分析深度完整:包括函式 hash、跨版本文件同步(這點非常強),資料結構自動建立、記憶體檢查、字串抽取等。
- 跨二進位版本的文件移轉:透過標準化 hash,可以將舊版本分析好的函式描述自動映射到新版本,極度省時。
- 自動化友好:有完整的 Python MCP bridge、HTTP REST API、內建 70+ 腳本、還支援 headless。
文章中列出的功能非常細,但整體可以概括為三大主軸:
- 結構化 Ghidra 功能:把 Ghidra 的核心分析能力暴露成穩定 API。
- 強調自動化與批次能力:幾乎所有可批次化的功能都支援,並能大幅減少 API 呼叫次數。
- 應用場景為 AI 協助逆向工程:例如 AI 自動補文件、補註解、比對版本變化、產生分析報告。
筆者心得與啟發
讀完整個專案内容,我最大感受是:逆向工程終於要真正 AI 化了。過去我們想用 AI 協助分析 binary 時,模型缺乏上下文、缺乏結構、缺乏 API,因此只能做高階推論。但在 MCP Server 出現後,AI 可以像專業逆向工程師一樣:
- 主動呼叫函式解構
- 調資料型別
- 查呼叫圖、交叉參考
- 自動建立 struct 或 enum
- 查記憶體內容並決策下一步
更令人驚訝的是跨版本文件同步。這等於讓 AI 有能力建立自己的「binary 知識庫」,之後遇到相似 binary 時能快速套用先前的分析成果。
對正在研究自動化 malware analysis、巨量 firmware 分析、甚至是大型企業的內部逆向流程的人來說,這個 MCP Server 是一個直接可上線的基礎工具。我會建議:
- 想探索 AI-assisted RE 的人,不妨從它提供的 110 個工具開始串接。
- 做企業內部 security automation 的,可以把它接入 CI pipeline,自動執行靜態 binary 分析。
- 做學術研究的,可以利用跨版本 hash 功能做大型程式演化分析。
整體來說,這個專案讓 Ghidra 的能力真正「開放式標準化」,為 AI 驅動的逆向工程流程打開了一條完全新的道路。