在剛剛閉幕的RSAC 2025上，MCP（模型上下文協議）無疑是個熱門的新興話題。在這個言必談AI安全的網絡安全盛會上，被認為將在不斷發展的 AI 驅動型安全格局中舉足輕重的MCP，引發了廣泛的關注。

RSAC 2025 上的MCP

在剛剛結束的RSAC 2025大會上雖未成為主角，但已引發安全領域的初步關注。

摩根大通CISO Patrick Opet在大會期間發表公開信強調，雖然MCP旨在簡化和標準化組織內不同系統之間的數據訪問和交換，但它們可能無意中創建了高度互聯的數據環境。如果攻擊者在MCP環境中獲得特權訪問權限，跨眾多系統的廣泛數據泄露和橫向移動的可能性將大大提高。而不容忽視的現實是，組織無法從當今互聯的環境中撤退。

一些CISO將MCP描述為"零信任的對立面"，因為其隱式信任模型和缺乏內置安全控制，引發了關于如何有效保護MCP部署的討論。此外，MCP還被強調作為Agentic AI的基礎協議，有望通過使AI Agent能夠與人類分析師一起自主行動來改變安全運營。

因此同時，多家廠商發布了與MCP安全相關的產品和解決方案，反映了業界對AI代理與企業數據交互安全的日益關注：

• Bedrock Security推出了其MCP服務器，旨在為AI代理和企業數據之間提供安全、標準化的網關；
• Salt Security發布了Salt MCP服務器，該服務器利用開放的MCP標準，在與API交互時為AI代理提供上下文感知和企業級精確性；
• Teleport宣布推出針對MCP環境的新安全平臺，專注于身份和訪問管理；
• SentinelOne強調了其針對MCP定制的統一檢測和響應能力，將終端安全擴展到覆蓋AI驅動的工作流。
• Versa Networks、AppOne和Backslash等供應商也推出了MCP服務器，專注于啟用MCP通信。

除了各種不同產品和解決方案陸續推出以外，谷歌還開源了其MCP服務器，作為其構建AI驅動安全開放生態系統更廣泛計劃的一部分。這些MCP服務器已集成到Google關鍵安全平臺中，使用戶能夠構建利用Google Cloud和生態系統工具的自定義安全工作流。這種開源方法促進了安全社區的協作和反饋，以發展MCP功能并應對隨著Agentic AI采用增長而出現的新安全挑戰。

為什么MCP如此重要

MCP于2024年底推出，作為一種通用協議，連接AI模型（如大語言模型）與各種數據源和服務。

安全牛認為，MCP最重要的價值在于，它解決了AI集成中的一個主要瓶頸：當前AI模型連接外部工具和數據源的方式分散且復雜。MCP是一種開放標準，它就像一種通用語言或"AI的USB-C"，使AI Agent能夠通過單一、標準化的接口與許多不同應用程序無縫通信。

OpenAI、Anthropic、Cloudflare和微軟等主要公司都在采用它。這種快速采用正在推動對MCP安全框架和最佳實踐的迫切需求。具體來說，MCP的關鍵價值在于：

• 統一集成：在MCP之前，每個AI-工具連接都需要自定義適配器或代碼，使集成變得勞動密集、脆弱且難以擴展。MCP讓開發者可以實現一種任何AI都能用來與任何MCP兼容工具交互的協議，極大地簡化了連接性。
• 工具互操作性：不同工具有不同的API和數據格式，迫使AI將意圖轉換成多種"方言"。MCP通過讓工具以通用格式聲明其功能來標準化這種交互，因此AI可以使用自然語言命令調用它們，無需脆弱的提示工程。
• 擴展AI能力：MCP將AI助手從孤立的文本預測器轉變為強大的Agent，能夠跨多個軟件工具觀察、規劃和行動，獲取數據、編輯設計、控制應用程序和自動化工作流，而無需手動切換上下文。
• 廠商和模型無關性：MCP是開放和通用的，允許企業和開發者混合搭配AI模型和工具，而不被鎖定在單一生態系統中。這種靈活性降低了風險并使AI集成具有面向未來的特性。
• 提升生產力和創新：通過MCP，AI可以跨工具鏈接操作（例如，設計到代碼工作流、自動化測試、多步驟業務流程），實現以前因過于復雜而難以實施的新水平的自動化和效率。
• 加速業務創新：MCP通過允許AI Agent直接與業務系統（預訂、支持、目錄）對接，開辟了客戶交互的新渠道。它還通過標準化連接加速了AI功能開發，微軟等大公司發布了支持MCP的SDK。

MCP面臨的主要安全威脅

MCP在通過廣泛采用改變AI集成的同時，也帶來了新的安全隱憂。MCP通過其連接AI與數據/服務的橋梁角色引入了重大的新攻擊面。最新威脅利用了弱身份驗證、過度權限、惡意負載注入和未監控的MCP部署：

• 上下文污染：攻擊者操縱上游數據源（文檔、工單、數據庫）向AI模型輸入中注入惡意指令或誤導性上下文，在不改變模型本身的情況下影響輸出。這可能導致數據泄露或AI執行未授權操作。
• 不安全的連接器和過度特權訪問：MCP服務器通常使用存儲的憑證和廣泛權限與多個內部系統集成。一旦被攻破，攻擊者可以轉向連接的系統，提升權限或竊取敏感數據。許多MCP工具請求過度訪問權限（如完全的收件箱訪問權），放大了潛在損害。
• 缺乏強健的身份驗證和授權：MCP實現通常缺乏強制性身份驗證，允許未授權用戶或惡意MCP服務器訪問內部上下文或冒充合法服務。這可能導致憑證盜竊、未授權數據訪問或拒絕服務(DoS)攻擊。許多MCP示例使用未加密的HTTP，使憑證面臨被攔截的風險。
• 提示注入和惡意負載：攻擊者在工具描述、提示模板或MCP服務器獲取的數據中嵌入隱藏指令或惡意命令。這可能導致AI助手執行未授權操作，如泄露機密信息或靜默執行有害命令。
• 影子MCP服務器風險：組織面臨未經安全團隊知曉安裝的MCP服務器（"影子MCP"）風險，這創造了安全盲點和未監控的訪問路徑。這些可能被利用于未授權訪問、數據泄露或意外破壞性操作。
• 供應鏈風險和惡意MCP服務器：缺乏官方MCP服務器注冊表，使攻擊者能夠通過非官方存儲庫分發偽裝成合法工具的惡意MCP服務器。用戶集成這些服務器可能會執行具有廣泛權限的任意惡意代碼。
• 令牌盜竊和服務器入侵：MCP用于訪問Gmail或云存儲等服務的OAuth令牌是主要攻擊目標。盜取這些令牌可允許攻擊者冒充用戶或設置欺詐性MCP服務器，獲取對敏感賬戶和數據的廣泛訪問。
• 敏感數據泄露與非法流出：由于未對操作數據進行必要的脫密處理，使得敏感信息（如財務數據、研發文檔、商業機密、客戶隱私）上傳到外部大模型，造成組織敏感數據泄露，造成安全事故與聲譽損失。
• 跨連接器攻擊：涉及多個連接器的復雜MCP部署可能被攻擊者利用，通過操縱連接器之間的交互來竊取數據或跨系統提升權限。
• 本地MCP服務器風險：提供文件系統或命令shell訪問的本地MCP服務器，如果身份驗證薄弱，可能通過惡意指令或權限提升被利用，潛在導致系統被攻破。

MCP安全防護的9個關鍵

MCP安全對于在企業環境中安全地使AI Agent與外部工具和數據交互至關重要。基于以上風險，安全牛認為，MCP安全防護應該做好以下幾點：

1.用戶同意和控制

• 在向MCP服務器暴露或共享任何數據或調用工具前，始終獲取明確的用戶同意；
• 提供清晰、透明的用戶界面，顯示訪問了哪些數據、執行了哪些操作，并允許用戶批準或拒絕請求；
• 實施精細的同意選項，使用戶能夠基于每個操作控制權限。

2.強身份驗證和授權

• 使用強大的標準化身份驗證方法（如OAuth 2.1）驗證客戶端和服務器；
• 執行嚴格的授權，遵循最小權限原則——僅為每個工具或數據訪問授予必要的最小權限；
• 實施快速過期的即時(JIT)訪問令牌，以減少憑證泄露的風險。

3.安全通信

• 始終使用加密通信渠道（TLS/HTTPS）保護傳輸中的數據；
• 避免使用未加密的HTTP或不安全的協議進行MCP交互。

4.工具安全和審核

• 將MCP工具視為任意代碼執行環境，部署前進行嚴格審核；
• 清晰記錄工具行為，使用戶在授權前了解每個工具的功能；
• 將工具限制在預先批準的操作范圍內，監控異常或意外行為，防止工具被污染。

5.數據隱私和保護

• 通過強大的訪問控制和靜態及傳輸中的加密保護敏感數據；
• 避免在沒有明確用戶同意的情況下傳輸敏感資源數據；
• 結合數據丟失防護(DLP)技術，如基于模式的編輯和與DLP系統集成，防止意外數據泄露；
• 對需要外部 AI 大模型處理的敏感數據，在符合組織安全策略的前提下，先行進行脫敏處理。

6.監控、日志記錄和事件響應

• 集中記錄所有重要的MCP事件（工具調用、數據請求、錯誤）以供分析和審計；
• 實施持續監控和異常檢測，及早識別可疑的MCP活動；
• 開發并維護針對MCP相關威脅（如工具污染或數據泄露）的事件響應手冊。

7.部署和網絡安全

• 將MCP服務器隔離在專用安全區域或網絡段中，實施嚴格的流量過濾；、
• 用API網關或微服務架構強制執行協議驗證、速率限制和威脅檢測；
• 定期輪換憑證和密鑰，并安全管理它們。

8.LLM采樣控制

• 要求用戶明確批準任何LLM采樣請求；
• 允許用戶控制發送哪些提示以及服務器可以訪問哪些結果，限制數據暴露。

9.遵循縱深防御和零信任原則

• 不假設隱式信任；持續驗證和授權每個MCP交互；
• 使用即時訪問、持續驗證和行為監控來最小化風險；
• 結合多層安全控制全面保護MCP環境。

以上這些最佳實踐有助于減輕提示注入、惡意MCP服務器、憑證泄露、數據泄露和未授權工具執行等風險。