MCP 這次真的火了！

自從Anthropic于 2024 年 11 月推出以來，它有望成為“將 AI 助手連接到數據所在系統的新標準”。

截至目前，該協議已被 OpenAI、微軟和谷歌等公司迅速采用；各大供應商紛紛推出 MCP 服務器，希望在 AI 代理工作流程中不失時機。同樣，阿里、騰訊、百度等國內大廠也毫無例外地統一宣布支持MCP協議。

簡單說，MCP在網絡上風靡一時的原因很簡單——人們已經發現了它各種各樣的使用場景。但問題是：最近，人們開始注意到 MCP 服務器并不像看上去那么安全。

一、為什么 MCP 服務器很危險呢？

要了解這些危險，您首先需要了解什么是 MCP 服務器以及它是如何工作的。

1.MCP 服務器究竟是如何工作的？

MCP 服務器就像專業的管家，充當 AI 模型和外部資源之間的橋梁。它們提供特定的功能，例如訪問文件、與數據庫交互或使用 API。每個 MCP 服務器都專注于一項特定的任務，使 AI 能夠輕松使用這些工具，而無需為每項服務編寫自定義代碼。

2.MCP 服務器的工作原理

連接：AI（充當 MCP 客戶端）連接到 MCP 服務器。

工具發現：服務器告訴 AI 它可以訪問哪些工具或數據源。

通信：它們使用名為 JSON-RPC 2.0 的輕量級協議進行通信，該協議允許快速和動態的交換。

例如，如果人工智能需要從數據庫中獲取數據：

AI向MCP服務器詢問最新的銷售數據。

MCP 服務器將請求轉換為數據庫查詢。

它執行查詢并將結果發送回 AI。

了解了這些，就知道MCP服務器的安全風險有哪些了。

3.危險之處

1）工具中隱藏惡意指令（工具中毒）

攻擊者可以將有害命令隱藏在 MCP 工具描述中。這些指令對用戶不可見，但可以誘騙 AI 模型執行危險的操作。

工具描述可能看起來很正常（例如，“分析此文件”），但人工智能可能會秘密復制敏感文件（如密碼或客戶數據）并將其發送給黑客。

攻擊者可能會在“更新設置”等看似簡單的任務背后隱藏代碼來刪除文件或竊取數據。

2）用戶看不到隱藏的風險

人們只能看到簡短的工具描述，而AI模型卻能看到完整的、可能有害的指令。更糟糕的是，許多MCP工具不會檢查隱藏的危險。

一款名為“整理文件”的工具在AI運行時，實際上可能會刪除重要文檔。用戶除非檢查代碼，否則不會發現。

3）批準后的虛假更新（MCP Rug Pulls）

黑客可以在您批準工具后修改工具的描述，并在安裝后添加有害代碼。

想象一下，你安裝了一個計算器工具。后來，黑客對其進行了更新，竊取了用戶在應用中輸入的信用卡號碼。這就像一個“假更新”騙局。

4）劫持可信工具（跨服務器攻擊）

惡意服務器可以覆蓋安全服務器的工具。這些攻擊不會在用戶日志中留下任何痕跡。

被黑客入侵的服務器可能會更改受信任的電子郵件發送工具，將所有電子郵件轉發到黑客的地址，即使您輸入了正確的收件人。

5）真實世界中有效的漏洞

Cursor AI 漏洞：名為“add()”的工具看似無害，但卻會從設置文件中秘密竊取登錄詳細信息（如密碼）。

虛假電子郵件工具：一種惡意工具，假裝向您的聯系人列表發送消息，但實際上卻將其發送給了黑客。

6）MCP 的內在弱點

MCP 完全信任工具描述，即使它們很危險。一臺服務器被黑可能會感染其他服務器。

如果黑客入侵了一個工具，他們就可以利用它攻擊所有連接的工具，就像連鎖反應一樣。

7）當今保護措施薄弱

大多數用戶并不知道 MCP 服務器的風險有多大。工具也缺乏基本的安全保障。

如果某個工具更新了有害代碼，除非客戶端檢查更改（許多客戶端不會檢查），否則用戶不會知道。

二、如何保持安全

雖然 MCP 的概念很棒，但它也隱藏著一些每個人都應該知道的風險。為了安全起見，你可以遵循以下步驟：

• 在安全性提高之前，請避免使用不受信任的 MCP 服務器。

• 使用強有力的保護措施，例如：

工具固定：將工具鎖定為特定的、經過驗證的版本。

用戶友好警告：清楚地顯示工具運行前的功能。

跨服務器隔離：分離工具，以便被黑客入侵的工具不會影響其他工具。

• 對于關鍵任務，請考慮像 Invariant 的安全堆棧這樣的解決方案，它增加了額外的保護層。

三、怎么辦？安全指南來了

但這并非代表著MCP 服務器一無是處，當然它們也很有用。只不過，它們就像開車不系安全帶一樣，確實很方便，但一步走錯就完蛋了。黑客可以在工具描述中隱藏惡意代碼，誘騙 AI 泄露你的機密，或者在你信任之后“更新”工具。

生存方法如下：

將每個 MCP 服務器視為一個粗略的應用程序下載 - 避開那些沒人信任的服務器。

通過固定將工具牢牢鎖定（這樣黑客以后就無法潛入）。

如果您必須使用 MCP，請像隔離放射性物質一樣將其隔離 - 將其遠離您的重要物品。

總而言之，MCP 的技術很酷，但它仍在改進中。謹慎使用，做好自我保護，或者等到“安全更新”發布后再完全信任它。