在剛剛閉幕的RSAC 2025上，MCP（模型上下文協(xié)議）無疑是個(gè)熱門的新興話題。在這個(gè)言必談AI安全的網(wǎng)絡(luò)安全盛會(huì)上，被認(rèn)為將在不斷發(fā)展的 AI 驅(qū)動(dòng)型安全格局中舉足輕重的MCP，引發(fā)了廣泛的關(guān)注。

RSAC 2025 上的MCP

在剛剛結(jié)束的RSAC 2025大會(huì)上雖未成為主角，但已引發(fā)安全領(lǐng)域的初步關(guān)注。

摩根大通CISO Patrick Opet在大會(huì)期間發(fā)表公開信強(qiáng)調(diào)，雖然MCP旨在簡(jiǎn)化和標(biāo)準(zhǔn)化組織內(nèi)不同系統(tǒng)之間的數(shù)據(jù)訪問和交換，但它們可能無意中創(chuàng)建了高度互聯(lián)的數(shù)據(jù)環(huán)境。如果攻擊者在MCP環(huán)境中獲得特權(quán)訪問權(quán)限，跨眾多系統(tǒng)的廣泛數(shù)據(jù)泄露和橫向移動(dòng)的可能性將大大提高。而不容忽視的現(xiàn)實(shí)是，組織無法從當(dāng)今互聯(lián)的環(huán)境中撤退。

一些CISO將MCP描述為"零信任的對(duì)立面"，因?yàn)槠潆[式信任模型和缺乏內(nèi)置安全控制，引發(fā)了關(guān)于如何有效保護(hù)MCP部署的討論。此外，MCP還被強(qiáng)調(diào)作為Agentic AI的基礎(chǔ)協(xié)議，有望通過使AI Agent能夠與人類分析師一起自主行動(dòng)來改變安全運(yùn)營(yíng)。

因此同時(shí)，多家廠商發(fā)布了與MCP安全相關(guān)的產(chǎn)品和解決方案，反映了業(yè)界對(duì)AI代理與企業(yè)數(shù)據(jù)交互安全的日益關(guān)注：

• Bedrock Security推出了其MCP服務(wù)器，旨在為AI代理和企業(yè)數(shù)據(jù)之間提供安全、標(biāo)準(zhǔn)化的網(wǎng)關(guān)；
• Salt Security發(fā)布了Salt MCP服務(wù)器，該服務(wù)器利用開放的MCP標(biāo)準(zhǔn)，在與API交互時(shí)為AI代理提供上下文感知和企業(yè)級(jí)精確性；
• Teleport宣布推出針對(duì)MCP環(huán)境的新安全平臺(tái)，專注于身份和訪問管理；
• SentinelOne強(qiáng)調(diào)了其針對(duì)MCP定制的統(tǒng)一檢測(cè)和響應(yīng)能力，將終端安全擴(kuò)展到覆蓋AI驅(qū)動(dòng)的工作流。
• Versa Networks、AppOne和Backslash等供應(yīng)商也推出了MCP服務(wù)器，專注于啟用MCP通信。

除了各種不同產(chǎn)品和解決方案陸續(xù)推出以外，谷歌還開源了其MCP服務(wù)器，作為其構(gòu)建AI驅(qū)動(dòng)安全開放生態(tài)系統(tǒng)更廣泛計(jì)劃的一部分。這些MCP服務(wù)器已集成到Google關(guān)鍵安全平臺(tái)中，使用戶能夠構(gòu)建利用Google Cloud和生態(tài)系統(tǒng)工具的自定義安全工作流。這種開源方法促進(jìn)了安全社區(qū)的協(xié)作和反饋，以發(fā)展MCP功能并應(yīng)對(duì)隨著Agentic AI采用增長(zhǎng)而出現(xiàn)的新安全挑戰(zhàn)。

為什么MCP如此重要

MCP于2024年底推出，作為一種通用協(xié)議，連接AI模型（如大語言模型）與各種數(shù)據(jù)源和服務(wù)。

安全牛認(rèn)為，MCP最重要的價(jià)值在于，它解決了AI集成中的一個(gè)主要瓶頸：當(dāng)前AI模型連接外部工具和數(shù)據(jù)源的方式分散且復(fù)雜。MCP是一種開放標(biāo)準(zhǔn)，它就像一種通用語言或"AI的USB-C"，使AI Agent能夠通過單一、標(biāo)準(zhǔn)化的接口與許多不同應(yīng)用程序無縫通信。

OpenAI、Anthropic、Cloudflare和微軟等主要公司都在采用它。這種快速采用正在推動(dòng)對(duì)MCP安全框架和最佳實(shí)踐的迫切需求。具體來說，MCP的關(guān)鍵價(jià)值在于：

• 統(tǒng)一集成：在MCP之前，每個(gè)AI-工具連接都需要自定義適配器或代碼，使集成變得勞動(dòng)密集、脆弱且難以擴(kuò)展。MCP讓開發(fā)者可以實(shí)現(xiàn)一種任何AI都能用來與任何MCP兼容工具交互的協(xié)議，極大地簡(jiǎn)化了連接性。
• 工具互操作性：不同工具有不同的API和數(shù)據(jù)格式，迫使AI將意圖轉(zhuǎn)換成多種"方言"。MCP通過讓工具以通用格式聲明其功能來標(biāo)準(zhǔn)化這種交互，因此AI可以使用自然語言命令調(diào)用它們，無需脆弱的提示工程。
• 擴(kuò)展AI能力：MCP將AI助手從孤立的文本預(yù)測(cè)器轉(zhuǎn)變?yōu)閺?qiáng)大的Agent，能夠跨多個(gè)軟件工具觀察、規(guī)劃和行動(dòng)，獲取數(shù)據(jù)、編輯設(shè)計(jì)、控制應(yīng)用程序和自動(dòng)化工作流，而無需手動(dòng)切換上下文。
• 廠商和模型無關(guān)性：MCP是開放和通用的，允許企業(yè)和開發(fā)者混合搭配AI模型和工具，而不被鎖定在單一生態(tài)系統(tǒng)中。這種靈活性降低了風(fēng)險(xiǎn)并使AI集成具有面向未來的特性。
• 提升生產(chǎn)力和創(chuàng)新：通過MCP，AI可以跨工具鏈接操作（例如，設(shè)計(jì)到代碼工作流、自動(dòng)化測(cè)試、多步驟業(yè)務(wù)流程），實(shí)現(xiàn)以前因過于復(fù)雜而難以實(shí)施的新水平的自動(dòng)化和效率。
• 加速業(yè)務(wù)創(chuàng)新：MCP通過允許AI Agent直接與業(yè)務(wù)系統(tǒng)（預(yù)訂、支持、目錄）對(duì)接，開辟了客戶交互的新渠道。它還通過標(biāo)準(zhǔn)化連接加速了AI功能開發(fā)，微軟等大公司發(fā)布了支持MCP的SDK。

MCP面臨的主要安全威脅

MCP在通過廣泛采用改變AI集成的同時(shí)，也帶來了新的安全隱憂。MCP通過其連接AI與數(shù)據(jù)/服務(wù)的橋梁角色引入了重大的新攻擊面。最新威脅利用了弱身份驗(yàn)證、過度權(quán)限、惡意負(fù)載注入和未監(jiān)控的MCP部署：

• 上下文污染：攻擊者操縱上游數(shù)據(jù)源（文檔、工單、數(shù)據(jù)庫）向AI模型輸入中注入惡意指令或誤導(dǎo)性上下文，在不改變模型本身的情況下影響輸出。這可能導(dǎo)致數(shù)據(jù)泄露或AI執(zhí)行未授權(quán)操作。
• 不安全的連接器和過度特權(quán)訪問：MCP服務(wù)器通常使用存儲(chǔ)的憑證和廣泛權(quán)限與多個(gè)內(nèi)部系統(tǒng)集成。一旦被攻破，攻擊者可以轉(zhuǎn)向連接的系統(tǒng)，提升權(quán)限或竊取敏感數(shù)據(jù)。許多MCP工具請(qǐng)求過度訪問權(quán)限（如完全的收件箱訪問權(quán)），放大了潛在損害。
• 缺乏強(qiáng)健的身份驗(yàn)證和授權(quán)：MCP實(shí)現(xiàn)通常缺乏強(qiáng)制性身份驗(yàn)證，允許未授權(quán)用戶或惡意MCP服務(wù)器訪問內(nèi)部上下文或冒充合法服務(wù)。這可能導(dǎo)致憑證盜竊、未授權(quán)數(shù)據(jù)訪問或拒絕服務(wù)(DoS)攻擊。許多MCP示例使用未加密的HTTP，使憑證面臨被攔截的風(fēng)險(xiǎn)。
• 提示注入和惡意負(fù)載：攻擊者在工具描述、提示模板或MCP服務(wù)器獲取的數(shù)據(jù)中嵌入隱藏指令或惡意命令。這可能導(dǎo)致AI助手執(zhí)行未授權(quán)操作，如泄露機(jī)密信息或靜默執(zhí)行有害命令。
• 影子MCP服務(wù)器風(fēng)險(xiǎn)：組織面臨未經(jīng)安全團(tuán)隊(duì)知曉安裝的MCP服務(wù)器（"影子MCP"）風(fēng)險(xiǎn)，這創(chuàng)造了安全盲點(diǎn)和未監(jiān)控的訪問路徑。這些可能被利用于未授權(quán)訪問、數(shù)據(jù)泄露或意外破壞性操作。
• 供應(yīng)鏈風(fēng)險(xiǎn)和惡意MCP服務(wù)器：缺乏官方MCP服務(wù)器注冊(cè)表，使攻擊者能夠通過非官方存儲(chǔ)庫分發(fā)偽裝成合法工具的惡意MCP服務(wù)器。用戶集成這些服務(wù)器可能會(huì)執(zhí)行具有廣泛權(quán)限的任意惡意代碼。
• 令牌盜竊和服務(wù)器入侵：MCP用于訪問Gmail或云存儲(chǔ)等服務(wù)的OAuth令牌是主要攻擊目標(biāo)。盜取這些令牌可允許攻擊者冒充用戶或設(shè)置欺詐性MCP服務(wù)器，獲取對(duì)敏感賬戶和數(shù)據(jù)的廣泛訪問。
• 敏感數(shù)據(jù)泄露與非法流出：由于未對(duì)操作數(shù)據(jù)進(jìn)行必要的脫密處理，使得敏感信息（如財(cái)務(wù)數(shù)據(jù)、研發(fā)文檔、商業(yè)機(jī)密、客戶隱私）上傳到外部大模型，造成組織敏感數(shù)據(jù)泄露，造成安全事故與聲譽(yù)損失。
• 跨連接器攻擊：涉及多個(gè)連接器的復(fù)雜MCP部署可能被攻擊者利用，通過操縱連接器之間的交互來竊取數(shù)據(jù)或跨系統(tǒng)提升權(quán)限。
• 本地MCP服務(wù)器風(fēng)險(xiǎn)：提供文件系統(tǒng)或命令shell訪問的本地MCP服務(wù)器，如果身份驗(yàn)證薄弱，可能通過惡意指令或權(quán)限提升被利用，潛在導(dǎo)致系統(tǒng)被攻破。

MCP安全防護(hù)的9個(gè)關(guān)鍵

MCP安全對(duì)于在企業(yè)環(huán)境中安全地使AI Agent與外部工具和數(shù)據(jù)交互至關(guān)重要?；谝陨巷L(fēng)險(xiǎn)，安全牛認(rèn)為，MCP安全防護(hù)應(yīng)該做好以下幾點(diǎn)：

1.用戶同意和控制

• 在向MCP服務(wù)器暴露或共享任何數(shù)據(jù)或調(diào)用工具前，始終獲取明確的用戶同意；
• 提供清晰、透明的用戶界面，顯示訪問了哪些數(shù)據(jù)、執(zhí)行了哪些操作，并允許用戶批準(zhǔn)或拒絕請(qǐng)求；
• 實(shí)施精細(xì)的同意選項(xiàng)，使用戶能夠基于每個(gè)操作控制權(quán)限。

2.強(qiáng)身份驗(yàn)證和授權(quán)

• 使用強(qiáng)大的標(biāo)準(zhǔn)化身份驗(yàn)證方法（如OAuth 2.1）驗(yàn)證客戶端和服務(wù)器；
• 執(zhí)行嚴(yán)格的授權(quán)，遵循最小權(quán)限原則——僅為每個(gè)工具或數(shù)據(jù)訪問授予必要的最小權(quán)限；
• 實(shí)施快速過期的即時(shí)(JIT)訪問令牌，以減少憑證泄露的風(fēng)險(xiǎn)。

3.安全通信

• 始終使用加密通信渠道（TLS/HTTPS）保護(hù)傳輸中的數(shù)據(jù)；
• 避免使用未加密的HTTP或不安全的協(xié)議進(jìn)行MCP交互。

4.工具安全和審核

• 將MCP工具視為任意代碼執(zhí)行環(huán)境，部署前進(jìn)行嚴(yán)格審核；
• 清晰記錄工具行為，使用戶在授權(quán)前了解每個(gè)工具的功能；
• 將工具限制在預(yù)先批準(zhǔn)的操作范圍內(nèi)，監(jiān)控異?；蛞馔庑袨?，防止工具被污染。

5.數(shù)據(jù)隱私和保護(hù)

• 通過強(qiáng)大的訪問控制和靜態(tài)及傳輸中的加密保護(hù)敏感數(shù)據(jù)；
• 避免在沒有明確用戶同意的情況下傳輸敏感資源數(shù)據(jù)；
• 結(jié)合數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)，如基于模式的編輯和與DLP系統(tǒng)集成，防止意外數(shù)據(jù)泄露；
• 對(duì)需要外部 AI 大模型處理的敏感數(shù)據(jù)，在符合組織安全策略的前提下，先行進(jìn)行脫敏處理。

6.監(jiān)控、日志記錄和事件響應(yīng)

• 集中記錄所有重要的MCP事件（工具調(diào)用、數(shù)據(jù)請(qǐng)求、錯(cuò)誤）以供分析和審計(jì)；
• 實(shí)施持續(xù)監(jiān)控和異常檢測(cè)，及早識(shí)別可疑的MCP活動(dòng)；
• 開發(fā)并維護(hù)針對(duì)MCP相關(guān)威脅（如工具污染或數(shù)據(jù)泄露）的事件響應(yīng)手冊(cè)。

7.部署和網(wǎng)絡(luò)安全

• 將MCP服務(wù)器隔離在專用安全區(qū)域或網(wǎng)絡(luò)段中，實(shí)施嚴(yán)格的流量過濾；、
• 用API網(wǎng)關(guān)或微服務(wù)架構(gòu)強(qiáng)制執(zhí)行協(xié)議驗(yàn)證、速率限制和威脅檢測(cè)；
• 定期輪換憑證和密鑰，并安全管理它們。

8.LLM采樣控制

• 要求用戶明確批準(zhǔn)任何LLM采樣請(qǐng)求；
• 允許用戶控制發(fā)送哪些提示以及服務(wù)器可以訪問哪些結(jié)果，限制數(shù)據(jù)暴露。

9.遵循縱深防御和零信任原則

• 不假設(shè)隱式信任；持續(xù)驗(yàn)證和授權(quán)每個(gè)MCP交互；
• 使用即時(shí)訪問、持續(xù)驗(yàn)證和行為監(jiān)控來最小化風(fēng)險(xiǎn)；
• 結(jié)合多層安全控制全面保護(hù)MCP環(huán)境。

以上這些最佳實(shí)踐有助于減輕提示注入、惡意MCP服務(wù)器、憑證泄露、數(shù)據(jù)泄露和未授權(quán)工具執(zhí)行等風(fēng)險(xiǎn)。