編輯 | 云昭
出品 | 51CTO技術棧(微信號:blog51cto)
MCP 這次真的火了!
自從Anthropic于 2024 年 11 月推出以來,它有望成為“將 AI 助手連接到數據所在系統的新標準”。
截至目前,該協議已被 OpenAI、微軟和谷歌等公司迅速采用;各大供應商紛紛推出 MCP 服務器,希望在 AI 代理工作流程中不失時機。同樣,阿里、騰訊、百度等國內大廠也毫無例外地統一宣布支持MCP協議。
簡單說,MCP在網絡上風靡一時的原因很簡單——人們已經發現了它各種各樣的使用場景。但問題是:最近,人們開始注意到 MCP 服務器并不像看上去那么安全。
一、為什么 MCP 服務器很危險呢?
要了解這些危險,您首先需要了解什么是 MCP 服務器以及它是如何工作的。
1.MCP 服務器究竟是如何工作的?
MCP 服務器就像專業的管家,充當 AI 模型和外部資源之間的橋梁。它們提供特定的功能,例如訪問文件、與數據庫交互或使用 API。每個 MCP 服務器都專注于一項特定的任務,使 AI 能夠輕松使用這些工具,而無需為每項服務編寫自定義代碼。
2.MCP 服務器的工作原理
連接:AI(充當 MCP 客戶端)連接到 MCP 服務器。
工具發現:服務器告訴 AI 它可以訪問哪些工具或數據源。
通信:它們使用名為 JSON-RPC 2.0 的輕量級協議進行通信,該協議允許快速和動態的交換。
例如,如果人工智能需要從數據庫中獲取數據:
AI向MCP服務器詢問最新的銷售數據。
MCP 服務器將請求轉換為數據庫查詢。
它執行查詢并將結果發送回 AI。
圖片
3.危險之處
1)工具中隱藏惡意指令(工具中毒)
攻擊者可以將有害命令隱藏在 MCP 工具描述中。這些指令對用戶不可見,但可以誘騙 AI 模型執行危險的操作。
工具描述可能看起來很正常(例如,“分析此文件”),但人工智能可能會秘密復制敏感文件(如密碼或客戶數據)并將其發送給黑客。
攻擊者可能會在“更新設置”等看似簡單的任務背后隱藏代碼來刪除文件或竊取數據。
2)用戶看不到隱藏的風險
人們只能看到簡短的工具描述,而AI模型卻能看到完整的、可能有害的指令。更糟糕的是,許多MCP工具不會檢查隱藏的危險。
一款名為“整理文件”的工具在AI運行時,實際上可能會刪除重要文檔。用戶除非檢查代碼,否則不會發現。
3)批準后的虛假更新(MCP Rug Pulls)
黑客可以在您批準工具后修改工具的描述,并在安裝后添加有害代碼。
想象一下,你安裝了一個計算器工具。后來,黑客對其進行了更新,竊取了用戶在應用中輸入的信用卡號碼。這就像一個“假更新”騙局。
4)劫持可信工具(跨服務器攻擊)
惡意服務器可以覆蓋安全服務器的工具。這些攻擊不會在用戶日志中留下任何痕跡。
被黑客入侵的服務器可能會更改受信任的電子郵件發送工具,將所有電子郵件轉發到黑客的地址,即使您輸入了正確的收件人。
5)真實世界中有效的漏洞
Cursor AI 漏洞:名為“add()”的工具看似無害,但卻會從設置文件中秘密竊取登錄詳細信息(如密碼)。
虛假電子郵件工具:一種惡意工具,假裝向您的聯系人列表發送消息,但實際上卻將其發送給了黑客。
6)MCP 的內在弱點
MCP 完全信任工具描述,即使它們很危險。一臺服務器被黑可能會感染其他服務器。
如果黑客入侵了一個工具,他們就可以利用它攻擊所有連接的工具,就像連鎖反應一樣。
7)當今保護措施薄弱
大多數用戶并不知道 MCP 服務器的風險有多大。工具也缺乏基本的安全保障。
如果某個工具更新了有害代碼,除非客戶端檢查更改(許多客戶端不會檢查),否則用戶不會知道。
二、如何保持安全
圖片
雖然 MCP 的概念很棒,但它也隱藏著一些每個人都應該知道的風險。為了安全起見,你可以遵循以下步驟:
- 在安全性提高之前,請避免使用不受信任的 MCP 服務器。
- 使用強有力的保護措施,例如:
工具固定:將工具鎖定為特定的、經過驗證的版本。
用戶友好警告:清楚地顯示工具運行前的功能。
跨服務器隔離:分離工具,以便被黑客入侵的工具不會影響其他工具。
- 對于關鍵任務,請考慮像 Invariant 的安全堆棧這樣的解決方案,它增加了額外的保護層。
三、怎么辦?安全指南來了
但這并非代表著MCP 服務器一無是處,當然它們也很有用。只不過,它們就像開車不系安全帶一樣,確實很方便,但一步走錯就完蛋了。黑客可以在工具描述中隱藏惡意代碼,誘騙 AI 泄露你的機密,或者在你信任之后“更新”工具。
生存方法如下:
將每個 MCP 服務器視為一個粗略的應用程序下載 - 避開那些沒人信任的服務器。
通過固定將工具牢牢鎖定(這樣黑客以后就無法潛入)。
如果您必須使用 MCP,請像隔離放射性物質一樣將其隔離 - 將其遠離您的重要物品。
總而言之,MCP 的技術很酷,但它仍在改進中。謹慎使用,做好自我保護,或者等到“安全更新”發布后再完全信任它。
