模型上下文协议 (MCP) 十大安全漏洞解析

开源标准Model Context Protocol（模型上下文协议 ，模型MCP）使AI系统无需集成即可与各类数据源
、上下工具和服务交互，文协为Agentic AI（代理型人工智能）奠定基础。大安洞解但企业在采用MCP服务器作为AI战略组成部分时，全漏必须警惕相关安全风险。模型本文系统梳理了MCP协议的上下十大关键漏洞。

类似跨站脚本攻击，文协跨租户数据泄露允许一组用户访问其他用户数据，大安洞解可能影响内部团队、全漏业务伙伴及客户。模型该漏洞已在Asana的模板下载上下MCP服务器实现中被发现
。安全公司UpGuard建议通过强制租户隔离和实施最小权限原则来防范 。文协

攻击者伪装成员工或客户向人工客服发送请求
，大安洞解其中嵌入仅AI可读的全漏隐蔽指令 。若客服将请求转交能访问敏感数据的AI助手 ，将造成严重危害
。防护措施包括：

现成的MCP服务器下载包可能暗藏风险
。恶意版本会篡改描述字段以绕过加密措施窃取数据。攻击面包括 ：

防范建议：

攻击者通过在GitHub等公开平台创建含恶意指令的香港云服务器Issue，诱导检查该仓库的AI代理执行数据泄露操作。虽然GitHub服务器未被入侵 ，但成为了攻击渠道。尽管人工确认每个工具调用是最佳实践 ，但多数用户已采用"始终允许"策略 。

当OAuth令牌以明文形式存储在MCP配置文件中时 ，攻击者可通过后门或社工手段窃取。与常规账户劫持不同，通过MCP使用被盗令牌的高防服务器API访问看起来完全合法
，增加了检测难度 。以Gmail账户为例，攻击者可获取完整邮件记录、发送伪造邮件或设置监控规则。

使用未经审查的第三方MCP服务器时，其可能向次级远程服务器发起请求。次级服务器返回看似合法但包含隐藏恶意指令的输出，经组合后传递给AI代理执行 。该方法可窃取环境变量中的服务器租用敏感数据，且无需与恶意服务器建立直接连接。

即使要求人工审批所有AI代理操作 ，恶意MCP服务器仍可通过海量无害请求（如读取权限申请）使用户产生审批疲劳 ，最终忽视隐藏其中的危险指令。该攻击原理与MFA疲劳攻击类似，都是通过持续请求迫使用户降低警惕。

当MCP服务器未配置身份验证时 ，低权限用户可能通过AI代理获取超出其访问级别的信息 。亿华云若该服务器同时对外开放，将导致更严重的权限提升风险。

若MCP服务器未经验证直接转发用户输入 ，攻击者可注入恶意命令（类似SQL注入）。防护措施包括：

当AI代理可访问多个MCP服务器时，恶意服务器可能诱导其不当使用其他服务器 。例如医疗场景中，表面提供症状查询的恶意服务器可暗中指令AI代理通过正常计费系统泄露患者数据。

最新评论