2024年底,Anthropic推出了开源模型上下文协议MCP(Model Context Protocol),几个月内便迅速成为全球AI技术社区的讨论焦点,每周SDK下载量超过800万次,一跃成为2025年采用速度最快的AI集成标准,甚至倒逼谷歌、微软、OpenAI等强大竞争对手最后都选择加入了MCP协议阵营。作为一种统一的标准化协议,MCP可以帮助不同的AI应用与外部不同的数据库、工具、服务、工作流等高效交互,被誉为AI世界的“USB-C接口”,兼容性强且拓展性高,重新定义了AI系统的连接和运行方式。但第三方安全公司Pynt最新的一项研究报告发现,随着MCP插件的使用增多,漏洞利用率也会随之上升。仅部署十个MCP插件,漏洞被利用的概率就高达92%,在三台互连的服务器上,风险超过50%,即使单个MCP插件,漏洞利用的概率也有9%,随着插件数量的增加,风险会呈指数级增长。
据报告统计,距离MCP推出仅十个月后,《财富》500强企业中部署的MCP服务器就已超过1.6万台。研究发现,MCP安全悖论的核心在于,其最大优势恰恰也是最大劣势:即无摩擦连接与广泛集成,且尽可能降低操作阻力。该开源协议的核心设计中并未内置安全机制——身份验证仍是可选配置,而在该协议已实现广泛部署数月后,授权框架才在更新中推出,两者叠加,正导致攻击面迅速扩大:每新增一个连接都会增加风险,进而形成漏洞的网络效应。MCP推出时犯了一个所有主流协议发布中都见过的错误——不安全的默认设置,如果开发者不从第一天起就将身份验证和最小权限原则内置其中,未来十年可能将在处理安全漏洞的问题上疲于奔命。Pynt对281台MCP服务器的分析提供了必要的数据来说明组合风险的核心数学原理。
根据分析,72%的MCP暴露了敏感功能,包括动态代码执行、文件系统访问和特权API调用,而13%的MCP会接受不受信任的输入,例如网页抓取、Slack消息、电子邮件或RSS源。
当这两个风险因素交织在一起时,攻击者便会获得直接途径,从而触发注入、命令执行和数据泄露,而且通常无需任何人工批准,这些并非假设的漏洞,而是隐藏在日常MCP配置中的实时、可衡量的漏洞利用路径。
目前,来自众多业内领先公司的安全研究团队正在持续努力,识别MCP目前在现实中存在的漏洞,以及那些理论上的漏洞,MCP协议在不同场景中持续显示出越来越多的漏洞,主要包括以下几种:
JFrog安全研究团队近期发现并披露了mcp-remote项目中的一个高危安全漏洞CVE-2025-6514,该项目是模型上下文协议(MCP)客户端常用的工具。如今,MCP-remote软件包下载量已经超过50万次,该漏洞允许攻击者在运行mcp-remote的计算机上发起与不受信任的MCP服务器的连接时触发任意操作系统命令执行,从而对用户构成重大风险,导致系统全面入侵。此外,安全公司Koi的研究人员发现了Postmark MCP后门,攻击者可在AI工作流中获得隐式“上帝模式”访问权限。
自版本发布以来,它一直在悄悄地将每封电子邮件复制到开发人员的个人服务器,可能涉及密码重置、发票、内部备忘录、机密文件等,每周postmark-mcp下载量超1500次,并集成到数百个开发人员工作流程中。这个工具没有安全模型,没有沙盒,没有遏制机制。一个开发者,几行代码,可能导致成千上万封邮件内容被盗,且系统完全不发出警报。Koi Security联合创始人兼首席技术官Idan Dardikman在最近的一篇博客文章中表示,MCP服务器与常规的npm软件包不同,这些是专门为AI助手自主使用而设计的工具。他呼吁,如果你使用的是Postmark-MCP 1.0.16或更高版本,则表明已受到安全威胁。请立即移除它,并更换所有可能通过电子邮件泄露的凭证。更重要的是,审核你正在使用的每台MCP服务器。Oligo Security公司披露了MCP Inspector中一个严重的RCE漏洞,该漏洞可导致基于浏览器的攻击,安全研究员Avi Lumelsky解释说:“通过在开发者的机器上执行代码,攻击者可以窃取数据、安装后门并在网络中横向移动。”由于检查器客户端和代理之间缺乏身份验证,低于0.14.1版本的MCP检查器存在远程代码执行漏洞,导致未经身份验证的请求可以通过stdio启动MCP命令,用户应立即升级到更高版本以修复这些漏洞。Trail of Bits的研究人员发现MCP的“跳线攻击”,开发者也称之为“工具中毒”,研究人员演示了恶意MCP服务器如何通过工具描述注入提示,从而操纵AI程序的行为,而无需明确调用,该团队指出:“此漏洞利用了人类提供可靠防御层的错误假设。 ”“跳线攻击”会创建许多具有巨大影响的攻击路径,但检测面却很小,可能导致代码泄露、漏洞注入、安全警报操纵等多种风险。在MCP中,身份验证和授权最初是可选的,该协议优先考虑互操作性而非安全性,假设企业会添加自己的控制措施,但数千台未部署身份验证的MCP服务器仍在生产环境中运行。金斯顿女王大学的一份学术报告发现了八个不同的漏洞,7.2%的服务器存在一般漏洞,5.5%的服务器存在MCP专用工具中毒漏洞。随着AI数字生态系统呈指数级扩张,2025年以后,企业将面临愈发严峻的网络安全挑战,API、服务帐户、物联网设备以及日益自主的AI代理正在以超越传统身份管理方法的速度激增,未来,每位员工在企业环境中可能要与数十个甚至数百个机器身份交互。Gartner在一项最新市场调查发现,当前企业部署了45种不同的网络安全工具,但能有效管理机器身份的仅为44%,大多数机器身份基本上不受管控,AI时代的网络安全需要重新定义与布局。相关研究报告指出,定义多层MCP防御策略被视为是弥补原始协议结构中漏洞的有效措施。第1层,需从MCP最薄弱的环节开始,即身份验证和访问控制,实施这些措施的企业报告称,漏洞减少了48%,用户采用率提高了30%,并且实现了集中式MCP服务器监控。
第2层,语义层防御对于为每个访问决策提供更丰富的背景信息至关重要,确保AI代理仅处理标准化、可信且可验证的数据。
第3层,知识图谱。知识图谱连接实体、分析资产和业务流程,使人工智能代理能够在组织环境中透明且安全地运行。
企业也可通过威胁建模、持续监控和红队演练,将定期进行MCP审计的活动转变为安全团队的肌肉记忆,以便不断迭代安全机制。
随着机器身份的爆炸式增长与人类身份的不断演变——两大趋势的碰撞催生了一个新的网络安全盲点:人机身份模糊,将人工智能特定的安全性作为网络安全战略中的一个独特风险类别进行投资将是一个很有前景的方向。
