模型上下文协议 (MCP) 十大安全漏洞解析

开源标准Model Context Protocol（模型上下文协议，模型MCP）使AI系统无需集成即可与各类数据源、上下工具和服务交互，文协为Agentic AI（代理型人工智能）奠定基础 。大安洞解但企业在采用MCP服务器作为AI战略组成部分时，全漏必须警惕相关安全风险。模型本文系统梳理了MCP协议的上下十大关键漏洞。

类似跨站脚本攻击
，文协跨租户数据泄露允许一组用户访问其他用户数据 ，大安洞解可能影响内部团队、全漏业务伙伴及客户。模型该漏洞已在Asana的云计算上下MCP服务器实现中被发现。安全公司UpGuard建议通过强制租户隔离和实施最小权限原则来防范。文协

攻击者伪装成员工或客户向人工客服发送请求，大安洞解其中嵌入仅AI可读的全漏隐蔽指令 。若客服将请求转交能访问敏感数据的AI助手，将造成严重危害。防护措施包括：

现成的MCP服务器下载包可能暗藏风险。恶意版本会篡改描述字段以绕过加密措施窃取数据。攻击面包括：

防范建议 ：

攻击者通过在GitHub等公开平台创建含恶意指令的香港云服务器Issue，诱导检查该仓库的AI代理执行数据泄露操作。虽然GitHub服务器未被入侵 ，但成为了攻击渠道 。尽管人工确认每个工具调用是最佳实践 ，但多数用户已采用"始终允许"策略
。

当OAuth令牌以明文形式存储在MCP配置文件中时 ，攻击者可通过后门或社工手段窃取。与常规账户劫持不同 ，通过MCP使用被盗令牌的服务器租用API访问看起来完全合法，增加了检测难度
。以Gmail账户为例 ，攻击者可获取完整邮件记录、发送伪造邮件或设置监控规则。

使用未经审查的第三方MCP服务器时，其可能向次级远程服务器发起请求。次级服务器返回看似合法但包含隐藏恶意指令的输出，经组合后传递给AI代理执行。该方法可窃取环境变量中的建站模板敏感数据，且无需与恶意服务器建立直接连接。

即使要求人工审批所有AI代理操作，恶意MCP服务器仍可通过海量无害请求（如读取权限申请）使用户产生审批疲劳
 ，最终忽视隐藏其中的危险指令 。该攻击原理与MFA疲劳攻击类似 ，都是通过持续请求迫使用户降低警惕。

当MCP服务器未配置身份验证时
，低权限用户可能通过AI代理获取超出其访问级别的信息。免费模板若该服务器同时对外开放 ，将导致更严重的权限提升风险 。

若MCP服务器未经验证直接转发用户输入
，攻击者可注入恶意命令（类似SQL注入）
。防护措施包括：

当AI代理可访问多个MCP服务器时，恶意服务器可能诱导其不当使用其他服务器。例如医疗场景中，表面提供症状查询的恶意服务器可暗中指令AI代理通过正常计费系统泄露患者数据。

最新评论