在刚刚闭幕的RSAC 2025上,MCP(模型上下文协议)无疑是个热门的新兴话题。在这个言必谈AI安全的网络安全盛会上,被认为将在不断发展的 AI 驱动型安全格局中举足轻重的MCP,引发了广泛的关注。
RSAC 2025 上的MCP
在刚刚结束的RSAC 2025大会上虽未成为主角,但已引发安全领域的初步关注。
摩根大通CISO Patrick Opet在大会期间发表公开信强调,虽然MCP旨在简化和标准化组织内不同系统之间的数据访问和交换,但它们可能无意中创建了高度互联的数据环境。如果攻击者在MCP环境中获得特权访问权限,跨众多系统的广泛数据泄露和横向移动的可能性将大大提高。而不容忽视的现实是,组织无法从当今互联的环境中撤退。
一些CISO将MCP描述为"零信任的对立面",因为其隐式信任模型和缺乏内置安全控制,引发了关于如何有效保护MCP部署的讨论。此外,MCP还被强调作为Agentic AI的基础协议,有望通过使AI Agent能够与人类分析师一起自主行动来改变安全运营。
因此同时,多家厂商发布了与MCP安全相关的产品和解决方案,反映了业界对AI代理与企业数据交互安全的日益关注:
Bedrock Security推出了其MCP服务器,旨在为AI代理和企业数据之间提供安全、标准化的网关;
Salt Security发布了Salt MCP服务器,该服务器利用开放的MCP标准,在与API交互时为AI代理提供上下文感知和企业级精确性;
Teleport宣布推出针对MCP环境的新安全平台,专注于身份和访问管理;
SentinelOne强调了其针对MCP定制的统一检测和响应能力,将终端安全扩展到覆盖AI驱动的工作流。
Versa Networks、AppOne和Backslash等供应商也推出了MCP服务器,专注于启用MCP通信。
除了各种不同产品和解决方案陆续推出以外,谷歌还开源了其MCP服务器,作为其构建AI驱动安全开放生态系统更广泛计划的一部分。这些MCP服务器已集成到Google关键安全平台中,使用户能够构建利用Google Cloud和生态系统工具的自定义安全工作流。这种开源方法促进了安全社区的协作和反馈,以发展MCP功能并应对随着Agentic AI采用增长而出现的新安全挑战。
为什么MCP如此重要
MCP于2024年底推出,作为一种通用协议,连接AI模型(如大语言模型)与各种数据源和服务。
安全牛认为,MCP最重要的价值在于,它解决了AI集成中的一个主要瓶颈:当前AI模型连接外部工具和数据源的方式分散且复杂。MCP是一种开放标准,它就像一种通用语言或"AI的USB-C",使AI Agent能够通过单一、标准化的接口与许多不同应用程序无缝通信。
OpenAI、Anthropic、Cloudflare和微软等主要公司都在采用它。这种快速采用正在推动对MCP安全框架和最佳实践的迫切需求。具体来说,MCP的关键价值在于:
统一集成:在MCP之前,每个AI-工具连接都需要自定义适配器或代码,使集成变得劳动密集、脆弱且难以扩展。MCP让开发者可以实现一种任何AI都能用来与任何MCP兼容工具交互的协议,极大地简化了连接性。
工具互操作性:不同工具有不同的API和数据格式,迫使AI将意图转换成多种"方言"。MCP通过让工具以通用格式声明其功能来标准化这种交互,因此AI可以使用自然语言命令调用它们,无需脆弱的提示工程。
扩展AI能力:MCP将AI助手从孤立的文本预测器转变为强大的Agent,能够跨多个软件工具观察、规划和行动,获取数据、编辑设计、控制应用程序和自动化工作流,而无需手动切换上下文。
厂商和模型无关性:MCP是开放和通用的,允许企业和开发者混合搭配AI模型和工具,而不被锁定在单一生态系统中。这种灵活性降低了风险并使AI集成具有面向未来的特性。
提升生产力和创新:通过MCP,AI可以跨工具链接操作(例如,设计到代码工作流、自动化测试、多步骤业务流程),实现以前因过于复杂而难以实施的新水平的自动化和效率。
加速业务创新:MCP通过允许AI Agent直接与业务系统(预订、支持、目录)对接,开辟了客户交互的新渠道。它还通过标准化连接加速了AI功能开发,微软等大公司发布了支持MCP的SDK。
MCP面临的主要安全威胁
MCP在通过广泛采用改变AI集成的同时,也带来了新的安全隐忧。MCP通过其连接AI与数据/服务的桥梁角色引入了重大的新攻击面。最新威胁利用了弱身份验证、过度权限、恶意负载注入和未监控的MCP部署:
上下文污染:攻击者操纵上游数据源(文档、工单、数据库)向AI模型输入中注入恶意指令或误导性上下文,在不改变模型本身的情况下影响输出。这可能导致数据泄露或AI执行未授权操作。
不安全的连接器和过度特权访问:MCP服务器通常使用存储的凭证和广泛权限与多个内部系统集成。一旦被攻破,攻击者可以转向连接的系统,提升权限或窃取敏感数据。许多MCP工具请求过度访问权限(如完全的收件箱访问权),放大了潜在损害。
缺乏强健的身份验证和授权:MCP实现通常缺乏强制性身份验证,允许未授权用户或恶意MCP服务器访问内部上下文或冒充合法服务。这可能导致凭证盗窃、未授权数据访问或拒绝服务(DoS)攻击。许多MCP示例使用未加密的HTTP,使凭证面临被拦截的风险。
提示注入和恶意负载:攻击者在工具描述、提示模板或MCP服务器获取的数据中嵌入隐藏指令或恶意命令。这可能导致AI助手执行未授权操作,如泄露机密信息或静默执行有害命令。
影子MCP服务器风险:组织面临未经安全团队知晓安装的MCP服务器("影子MCP")风险,这创造了安全盲点和未监控的访问路径。这些可能被利用于未授权访问、数据泄露或意外破坏性操作。
供应链风险和恶意MCP服务器:缺乏官方MCP服务器注册表,使攻击者能够通过非官方存储库分发伪装成合法工具的恶意MCP服务器。用户集成这些服务器可能会执行具有广泛权限的任意恶意代码。
令牌盗窃和服务器入侵:MCP用于访问Gmail或云存储等服务的OAuth令牌是主要攻击目标。盗取这些令牌可允许攻击者冒充用户或设置欺诈性MCP服务器,获取对敏感账户和数据的广泛访问。
敏感数据泄露与非法流出:由于未对操作数据进行必要的脱密处理,使得敏感信息(如财务数据、研发文档、商业机密、客户隐私)上传到外部大模型,造成组织敏感数据泄露,造成安全事故与声誉损失。
跨连接器攻击:涉及多个连接器的复杂MCP部署可能被攻击者利用,通过操纵连接器之间的交互来窃取数据或跨系统提升权限。
本地MCP服务器风险:提供文件系统或命令shell访问的本地MCP服务器,如果身份验证薄弱,可能通过恶意指令或权限提升被利用,潜在导致系统被攻破。
MCP安全防护的9个关键
MCP安全对于在企业环境中安全地使AI Agent与外部工具和数据交互至关重要。基于以上风险,安全牛认为,MCP安全防护应该做好以下几点:
1 用户同意和控制
在向MCP服务器暴露或共享任何数据或调用工具前,始终获取明确的用户同意;
提供清晰、透明的用户界面,显示访问了哪些数据、执行了哪些操作,并允许用户批准或拒绝请求;
实施精细的同意选项,使用户能够基于每个操作控制权限。
2 强身份验证和授权
使用强大的标准化身份验证方法(如OAuth 2.1)验证客户端和服务器;
执行严格的授权,遵循最小权限原则——仅为每个工具或数据访问授予必要的最小权限;
实施快速过期的即时(JIT)访问令牌,以减少凭证泄露的风险。
3 安全通信
始终使用加密通信渠道(TLS/HTTPS)保护传输中的数据;
避免使用未加密的HTTP或不安全的协议进行MCP交互。
4 工具安全和审核
将MCP工具视为任意代码执行环境,部署前进行严格审核;
清晰记录工具行为,使用户在授权前了解每个工具的功能;
将工具限制在预先批准的操作范围内,监控异常或意外行为,防止工具被污染。
5 数据隐私和保护
通过强大的访问控制和静态及传输中的加密保护敏感数据;
避免在没有明确用户同意的情况下传输敏感资源数据;
结合数据丢失防护(DLP)技术,如基于模式的编辑和与DLP系统集成,防止意外数据泄露;
对需要外部 AI 大模型处理的敏感数据,在符合组织安全策略的前提下,先行进行脱敏处理。
6 监控、日志记录和事件响应
集中记录所有重要的MCP事件(工具调用、数据请求、错误)以供分析和审计;
实施持续监控和异常检测,及早识别可疑的MCP活动;
开发并维护针对MCP相关威胁(如工具污染或数据泄露)的事件响应手册。
7 部署和网络安全
将MCP服务器隔离在专用安全区域或网络段中,实施严格的流量过滤;、
用API网关或微服务架构强制执行协议验证、速率限制和威胁检测;
定期轮换凭证和密钥,并安全管理它们。
8 LLM采样控制
要求用户明确批准任何LLM采样请求;
允许用户控制发送哪些提示以及服务器可以访问哪些结果,限制数据暴露。
9 遵循纵深防御和零信任原则
不假设隐式信任;持续验证和授权每个MCP交互;
使用即时访问、持续验证和行为监控来最小化风险;
结合多层安全控制全面保护MCP环境。
以上这些最佳实践有助于减轻提示注入、恶意MCP服务器、凭证泄露、数据泄露和未授权工具执行等风险。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
