「你引入了MCP服务器,却没做库存清单。」一位安全工程师的警告,戳中了AI应用开发者的盲区。

什么是MCP服务器

打开网易新闻 查看精彩图片

模型上下文协议(Model Context Protocol,MCP)服务器是AI应用连接外部工具的桥梁。你的AI助手能查天气、调日历、读数据库,全靠这些服务器中转。

打开网易新闻 查看精彩图片

它们像API网关,但比传统API更深层——直接嵌入AI的决策链条。

供应链风险清单

第一,来源不明。多数开发者从开源社区直接复制MCP服务器配置,不验证代码签名,不查维护者身份。

第二,权限过宽。一个日历查询服务器,可能索要邮件、联系人、甚至云存储的读取权限。

第三,更新失控。MCP服务器自动拉取最新版本,你的AI应用可能在凌晨静默升级了某个依赖——带着恶意代码

第四,没有SBOM。软件物料清单(Software Bill of Materials)在传统开发中已成标配,MCP生态里几乎空白。

第五,影子IT蔓延。业务团队为了快速上线,私自接入第三方MCP服务器,安全团队毫不知情。

打开网易新闻 查看精彩图片

为什么现在必须管

AI应用的攻击面正在指数级扩张。传统供应链攻击针对的是你的代码库,MCP供应链攻击针对的是AI的「手和眼」——它能接触什么数据,执行什么操作。

攻击者不需要入侵你的主系统,只需要替换一个流行的MCP服务器,就能让成千上万AI应用成为傀儡。

三件事现在做

建立MCP服务器白名单,禁止随意接入;为每个服务器生成SBOM,追踪依赖树;把MCP权限纳入最小权限原则审计。

你的AI应用安全边界,取决于你最不可控的那个MCP服务器。