当前,各行业组织纷纷加速布局 AI 驱动型基础设施,全力打造 “AI 为先” 的运营模式。然而,安全防护建设却明显滞后,成为一大短板。基于大型语言模型(LLMs)和多组件协议(MCP)构建的多智能体系统,虽在效率提升、业务拓展上潜力巨大,但也催生了传统安全工具无法应对的新型漏洞,给 AI 环境安全带来严峻挑战。
为解决这一痛点,网络安全领域企业 Wallarm 密切关注新兴攻击面的防护指南,尤其参考了近期发布的《OWASP 多智能体系统威胁建模指南 v1.0》,结合实际应用场景,编制出一份实用的 MCP 安全清单。
这份清单精准聚焦多智能体系统中的 11 类核心安全风险,不仅清晰剖析了各类风险的危害,还给出了针对性的防御方案。比如,针对 “意外的远程代码执行与代码攻击”,提出权限限制、环境隔离、执行控制等多维度防护手段;面对 “模型不稳定导致 MCP 请求不一致” 问题,从调用限制、速率管控、提示优化三方面制定应对策略。此外,清单还涵盖工具滥用、客户端仿冒、通信不安全、资源过载、服务账户信息泄露、日志操纵、权限泄露、服务器权限隔离不足、生态系统中恶意服务器等风险,对应的防御措施涉及验证监控、身份管理、加密通信、资源管控、敏感信息保护等多个层面。
有了这份 MCP 安全清单,各组织在推进 AI 基础设施建设时,能更精准地识别安全隐患、部署防护措施,从而有效守护原生 AI 环境安全,打造兼具灵活性与安全性的 AI 驱动型基础设施。
1. T11—— 意外的远程代码执行与代码攻击
在原生 AI 系统中,智能体并非仅对查询做出响应,它们还会生成并执行代码。这为隐蔽而危险的提示注入攻击打开了方便之门。若攻击者在提示中注入操作系统命令等恶意指令,大型语言模型可能在不知情的情况下嵌入并执行这些指令,造成严重安全威胁。缓解措施可从多维度实施:
权限限制:仅在绝对必要时允许代码生成;应用最小权限原则,仅授予完成任务所需的最低权限;限制对文件系统和网络等系统资源的访问。
环境隔离:对执行环境进行沙箱隔离,防止主机级别的安全危害。
执行控制:实施执行控制策略,对具有提升权限的 AI 生成代码进行标记并暂停执行,等待人工审核;限制 CPU、内存和执行时间,使其与任务范围相匹配;使用允许列表而非阻止列表来明确规定允许的操作;在智能体代码和工具中始终遵循安全编码规范。
2. T26—— 模型不稳定导致 MCP 请求不一致
模型不稳定易引发 MCP 客户端向 MCP 服务器发送不一致或异常请求,干扰系统正常操作。例如,模型执行构建 SQL 查询等任务出错时,可能反复重试错误指令,给后端带来过多流量,进而演变为拒绝服务问题。由于模型难以及时察觉自身错误,基础设施需具备错误识别能力,具体防范措施如下:
调用限制:按会话或任务对工具调用的频率和数量加以限制。
速率管控:根据网络状况和智能体活动实施自适应速率限制。
提示优化:构建具有明确格式和逻辑步骤的提示;使用思维链(CoT)提示法(一种引导模型进行逐步推理的方法),减少因跳跃式推理导致的不一致性。
3. T2—— 通过 MCP 实现的工具滥用
在 MCP 环境中运行的智能体能够访问工具 API 执行计算、转换或业务操作。但若缺乏适当验证,智能体可能被诱骗使用错误工具执行任务,改变输出结果或破坏信任。为缓解这一风险,可从多个层面着手:
验证与监控层面:实施严格的工具访问验证,对每次调用进行验证;监控工具使用模式,及时发现异常情况。
权限与范围层面:为不同工具配置不同权限集;限制每个工具的访问范围,使其仅能获取所需资源。
隔离与安全层面:在隔离环境中运行工具,防止交叉影响;验证输入,限制函数范围,阻止危险操作。
管理与规范层面:防止命名冲突和未授权的工具间访问;对工具调用的频率和数量加以限制;在文档中包含必要的类型、计量单位和运行时验证要求,确保工具正确使用。
4. T40——MCP 客户端仿冒:身份管理问题
在分布式智能体生态系统中,身份至关重要。若恶意攻击者获取有效凭据,或系统未能正确验证智能体身份,他们可能访问特权工具或数据。为防范这一风险,需构建完善的身份管理体系:
开发强大的身份验证框架,确保身份不与单一凭据相关联。
使用行为分析检测智能体活动中的异常情况。
实施可随时间调整且能抵御操纵的智能体信誉系统。
强制使用公钥基础设施(PKI),智能体必须通过由可信证书颁发机构(CA)颁发的数字证书进行身份验证,PKI 通过证书链验证机制有效确保证书的真实性和完整性。
验证私钥所有权,以确认智能体身份。
使用具有智能体间身份验证功能的安全通信协议。
实施沙箱隔离和政策执行措施,限制已被入侵智能体的影响范围。
5. T30——MCP 实施中的通信不安全问题
若 JSON-RPC 和 SSE 等通信协议实施不当,攻击者可能拦截、修改或注入传输中的数据。例如,MCP 客户端与服务器间的请求和响应通过未加密的 HTTP 发送时,攻击者可能篡改响应,导致大型语言模型输出无效结果。缓解这一风险需强化通信安全:
使用 HTTPS 和双向 TLS(mTLS)等安全通信协议。
验证证书属性和颁发机构,防止中间人攻击。
对所有与 MCP 相关的通信强制实施加密和身份验证。
持续监控流量,警惕异常模式、有效负载篡改或注入尝试。
6. T4—— 资源过载风险
攻击者可能通过大量 CPU、内存或服务请求使 AI 系统过载,降低系统性能或导致拒绝服务。例如,恶意攻击者可能触发 100 次大型文件读取操作,或发送 PostgreSQL 的 pg_sleep (600) 睡眠命令冻结数据库操作。可通过以下方式缓解风险:
部署资源管理控制措施,合理分配 CPU、内存和 I/O 预算。
结合实时监控实施自适应扩展。
按智能体会话实施 AI 速率限制政策。
对提示大小、任务持续时间和重试次数设置严格配额。
7. T21—— 服务账户信息泄露隐患
MCP 服务账户配置不当可能导致凭据通过工具、日志或文件访问泄露。例如,连接到读取环境变量工具的大型语言模型可能无意中泄露 AWS 凭据。防范措施包括:
自动对个人身份信息(PII)和凭据进行脱敏处理,尤其是从日志或智能体输出中自动检测并隐藏密钥、令牌等敏感信息。
按角色和上下文使用细粒度的访问控制。
定期轮换凭据,缩短可能被入侵的时间窗口。
设置防护措施,防止凭据共享或意外泄露。
对所有访问令牌和 API 应用最小权限原则。
8. T22—— 选择性日志操纵问题
攻击者可能操纵日志行为,隐藏恶意活动或用无用事件淹没系统。例如,他们可能将日志级别更改为 DEBUG 或 TRACE 以隐藏攻击,用无用事件使日志系统过载,或通过配置操纵禁用日志功能。缓解策略如下:
实施日志的加密验证,确保日志完整性。
使用具有严格访问控制的不可变日志存储,防止日志被篡改或删除。
通过元数据丰富日志内容,提高可见性。
部署异常检测系统,充分考虑 AI 智能体的非确定性行为。
9. T3—— 权限泄露风险
攻击者可能通过配置错误、提示注入或访问逻辑操纵来提升权限。例如,某个提示可能说服大型语言模型向攻击者授予管理员权限,或恶意用户可能将管理员组权限恶意降级至普通用户访问级别。为缓解这一风险:
在所有层级实施细粒度访问控制。
动态验证角色变更,并记录所有权限提升操作。
除非预先获得批准,否则阻止智能体之间的权限委托。
对高风险操作实施人工验证。
使用分层防御措施防止提示注入和权限滥用。
10. T45——MCP 服务器权限隔离不足:身份管理问题
如果 MCP 服务器对主机资源或网络拥有过多访问权限,安全入侵可能在系统间蔓延。例如,MCP 服务器上某个易受攻击的工具允许路径遍历(一种常见 Web 漏洞,攻击者可通过构造特殊路径访问未授权文件),可能泄露其他服务或 MCP 环境的机密信息。防止此类情况需做好权限隔离:
在服务器级别应用最小权限原则。
通过沙箱隔离和资源边界隔离智能体和工具。
实施运行时监控和严格的访问执行措施,防止权限提升或横向移动。
11. T47—— 生态系统中的恶意 MCP 服务器:智能体身份管理问题
攻击者可能部署恶意 MCP 服务器伪装成合法服务器,连接到该恶意服务器的智能体随后会被入侵。这是针对 MCP 信任模型的生态系统级攻击。缓解这一风险需强化身份验证与信任机制:
使用去中心化标识符(DIDs)在服务间进行身份验证,DIDs 是一种去中心化的身份标识方式,不依赖中心化机构即可实现身份验证。
应用双向 TLS 和 DID 签名消息等安全身份验证协议。
通过带时间戳的凭据验证防止重放攻击。
维护可适应动态智能体属性的可信智能体注册表。
结语
如果没有强大的安全模型,MCP 和多智能体系统的灵活性就会变得脆弱不堪。通过遵循 OWASP 的威胁建模指南和上述建议,各组织能够打造出既安全又智能的 AI 基础设施。
原文链接:
https://securityboulevard.com/2025/08/comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure/
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
