模型上下文協議(Model Context Protocol, MCP)使AI代理和聊天機器人能夠連接數據源、工具及其他服務,但若企業部署時未設置適當安全防護,將面臨重大風險。
MCP由OpenAI主要競爭對手Anthropic于2024年末創建。該協議為AI模型連接各類數據源和工具提供了標準化方案,其優越性促使OpenAI、三大云服務商及多數主流AI廠商紛紛采納。
短短數月內,數千個MCP服務器上市,支持AI助手連接企業數據與服務。隨著代理式AI(agentic AI)被視為IT未來,MCP及相關協議(ACP、Agent2Agent)在企業中的應用將持續擴大。
但是隨著企業全面進軍AI的步伐,類似MCP這樣的創新應用也帶來了顯著的風險。
2025年5月工作管理平臺Asana發布MCP服務允許AI助手訪問"工作圖譜"。一個月后,安全研究人員發現漏洞可導致用戶越權訪問他人數據。同樣在5月,Atlassian也發布了MCP服務,而攻擊者利用漏洞提交惡意支持工單并獲取了特權訪問權限。
OWASP在Atlassian事件曝光當日啟動"MCP十大風險"項目(截至發稿清單仍為空)。漏洞曝光同期,MCP緊急更新部分修復已知隱患。
該周內,MCP協議緊急發布更新,修復了安全專家長期擔憂的部分漏洞。
以下將深入解析MCP協議,并闡述首席信息安全官(CISO)必須了解的風險要點、緩解策略及新興解決方案,以加固其企業AI代理日益依賴的MCP服務安全。
MCP 是一種 API,但它并非讓一個計算機程序以標準化方式與另一個計算機程序通信,而是讓 AI 代理或聊天機器人能夠與數據庫、工具及其他資源進行交互。
過去企業需將數據轉為向量數據庫,通過RAG(檢索增強生成)技術將上下文接入提示詞,過程復雜且需定制開發。
開發者僅需在數據庫前部署MCP服務,AI代理即可按需直接拉取數據,無需額外編程。Anthropic為Atlassian、PayPal等12家廠商提供預置MCP服務。
OpenAI支持連接Cloudflare、Shopify等11家服務,開發者可通過Responses API接入任意MCP服務器。
所有這些都對相關各方構成了重大風險,但由于該技術極其實用,許多企業仍選擇繼續推進。
不僅僅是科技公司。制造企業Yageo Group已在考慮部署這項技術,部分工作正通過近期收購的子公司推進。"目前我任職的母公司正在著手完善相關治理體系,"Yageo Group信息安全運營經理Terrick Taylor表示。
但他對數據泄露等安全隱患憂心忡忡——由于各分支機構都在開發大量應用系統,風控工作已力不從心。"再這樣下去,我很快就要愁白頭了。"
在MCP服務的應用上,個人開發者提升工作效率與企業級生產部署存在本質差異。
Asperitas咨詢公司應用轉型總監Derek Ashmore建議,企業客戶不應倉促采用MCP技術,應待其安全性進一步提升、且主要AI供應商能為其生產環境提供更完善的MCP支持后再做考量。
核心矛盾在于:雖然通過安全部署可消除或緩解部分MCP服務器風險,但另一些風險已深植于MCP協議底層設計中。安全機構Equixly指出,MCP協議規范強制要求URL中包含會話標識符——這直接違背了"不將敏感數據暴露于URL"的安全準則。更嚴重的是,協議缺乏必要的消息簽名與驗證機制,導致傳輸過程中存在消息篡改漏洞。
Equixly首席技術官Alessio Della Piazza在技術博客中警示:"MCP服務仍處于安全成熟度爬升階段,這使其在技術采納期尤為脆弱。"
最新版MCP協議更新已修復了部分底層設計缺陷。
當前MCP已被歸類為OAuth資源服務,這一改進部分解決了Equixly指出的認證漏洞。此外,新增的資源標識符要求可有效阻止攻擊者獲取訪問令牌。
最新協議已強制要求攜帶協議版本頭標識,這將有效解決MCP服務器版本識別混亂問題。
盡管這些更新尚未完全修復安全研究人員發現的所有漏洞,也無法立即修正所有已部署的MCP服務,但它們標志著整個技術社區正朝著正確的安全方向邁進。
對企業用戶而言,在部署MCP服務和實施授權流程時,現已形成一套全新的安全實踐規范。
若現有措施仍顯不足,Anthropic公司更在其支持門戶新增了MCP服務建設專項指南,為新建MCP服務的組織提供更全面的安全實踐參考。
對于部署第三方MCP服務器的組織機構,網絡安全企業CyberArk提出以下專業建議:
-
啟用新MCP服務器前,須核驗其是否列入MCP GitHub官方發布清單;若未收錄,建議先在沙箱環境中試運行。
-
取保MCP納入威脅建模體系,并貫穿 透測試與紅隊演練全流程。
-
部署本地MCP服務器,需執行人工代碼審計以檢測異常與后門,并輔以大語言模型或自動化分析工具掃描代碼庫,雙重驗證潛在惡意代碼模式。
-
務必選用默認開啟"預審模式"的MCP客戶端——該模式需在批準前完整顯示每個工具調用請求及其輸入參數。
深刻理解MCP安全機制將成為企業數字化轉型的關鍵要務,特別是在大規模部署AI智能體時更顯其戰略價值。
據Gartner研究顯示,MCP正崛起為AI集成領域的事實標準——該機構預測到2026年,75%的API網關供應商與50%的iPaaS服務商將原生集成MCP功能模塊。
各機構必須警惕第三方MCP服務帶來的攻擊面擴張及新型供應鏈風險——這對網絡安全管理者而言似曾相識,此類問題實為行業長期痛點。但F5 Networks首席技術官辦公室杰出工程師兼技術布道師Lori MacVittie警示:MCP服務器絕非簡單的API升級版本,而是堪比從邊界安全轉向應用安全的基礎性范式變革。
"MCP技術正在顛覆所有傳統安全范式,"她強調道,"那些我們長期依賴的核心安全假設正在被徹底重構。"
根本原因在于:MCP的核心功能運行于其上下文窗口環境——該場景下MCP服務器與AI智能體采用明文通信機制。這意味著系統存在欺騙與操控的潛在漏洞。"攻擊者完全可以聲稱'我是CEO',現有機制如何防范此類身份欺詐?"
由于核心組件——AI智能體與大語言模型——具有非確定性特征,整個系統無法確保按設計意圖可靠運行。"我認為目前尚未有人真正掌握其正確實現方式,"MacVittie坦言。
這并不意味著當前市場缺乏MCP安全解決方案供應商。以下為部分代表性海外廠商:
-
BackSlash安全公司:提供包含數千臺MCP服務器的可搜索數據庫(附帶風險評級),免費MCP風險自評估工具,專業MCP風險管理商業服務。
-
Lasso Security:開源MCP網關,支持MCP服務器的配置與生命周期管理,并能凈化MCP消息中的敏感信息。
-
Invariant Labs: 開源MCP網關,支持MCP服務器的配置及全生命周期管理,可對MCP消息中的敏感信息進行凈化處理。
-
Pillar Security提供MCP服務器防護服務,包括自動化發現、紅隊評估和運行時保護。
-
派拓網絡(Palo Alto Networks)旗下Cortex Cloud WAAS工具提供MCP協議驗證功能,并能檢測針對MCP端點的API層攻擊。
浙公網安備 33010502006954號 
