你刚把公司的AI助手接上新买的MCP工具,让它自动整理周报、查数据库、发邮件。一周后安全团队告诉你:这套系统能被一句聊天诱导,直接执行服务器上的任意代码。

不是实现bug,是架构设计

打开网易新闻 查看精彩图片

OX Security团队在4月15日发布的报告中点明要害:漏洞根植于MCP官方SDK的底层架构,Python、TypeScript、Java、Rust全语言中招。任何基于MCP构建的项目,默认携带这一风险。

这相当于HTTP协议本身规定"服务器收到请求必须无条件信任客户端身份"——不是某个浏览器写错了,是整个协议就这么定的。

四种攻击路径已验证可用

研究人员在真实生产环境中跑通了完整攻击链:

• 未认证UI注入:恶意界面元素绕过用户确认
• 安全加固绕过:现有防护机制被架空
• 提示词注入:日常对话中夹带执行指令
• 恶意插件分发:伪造成合法工具进入生态

LiteLLM、LangChain、IBM LangFlow等主流项目已确认存在关键漏洞,CVE编号已分配10个,评级"严重",数量还在增加。

Anthropic的回应:预期设计

OX Security称多次联系Anthropic希望修复架构。对方拒绝修改,并将该行为定性为「预期设计」。

团队告知将公开研究成果,对方未提出异议。

这种回应方式在开源协议领域并不罕见——维护方有时将安全责任下沉给实现者。但MCP的定位是"AI时代的USB-C",若基础协议本身不设防,上层应用再加固也是沙上建塔。

当下能做什么

OX Security给出四条硬性建议:

1. 大语言模型和AI工具绝不暴露公网
2. 所有MCP输入视为不可信数据,防提示词注入
3. 强制沙箱环境运行服务
4. 权限最小化,持续更新

核心逻辑很直白:既然协议层不帮你拦,就在应用层自己筑墙。

为什么这事值得盯

MCP正在快速成为AI工具连接的事实标准。协议层的架构缺陷意味着,未来数月我们会看到更多"某企业AI助手被钓鱼执行勒索软件"的新闻——而攻击复杂度,可能只需要一封精心构造的邮件。

Anthropic把皮球踢给了生态。但生态的应对速度,大概率追不上攻击者的利用速度。

好消息是:至少现在你知道,那个帮你整理周报的AI,可能正在等一句"顺便帮我执行这个脚本"。