多数人认为针对AI的攻击会从模型本身下手,但最新的扫描活动揭示了一个更隐蔽的入口——那些被随手开放、未加身份验证的协议通道和配置文件,正成为攻击者规模化侦察的目标。过去两周,互联网风暴中心的分析师在多台小众网站的主机日志中,捕捉到一种持续的外部请求,请求的格式不是常见的路径探测,而是严格遵循模型上下文协议初始化流程的JSON-RPC消息。也就是说,对方不是来敲门看有没有房子,而是直接递上了一张设计好格式的名片,等你回话。
这项发现来自研究人员对Apache和ModSecurity日志的深度复盘。在约两周的数据跨度里,他们筛选出大约两百次与AI代理侦察直接相关的请求,发起这些请求的源IP多达49个,分布广泛,彼此间看不出单一组织的协调特征。互联网风暴中心在提供给《网络安全新闻》的报告中指出,这种分散的、大规模的扫描模式更像是一场地毯式搜索,而非针对特定开发商或企业的定向侵入。正因为探测的目标都是低流量、非AI基础设施的网站,反而说明攻击者的脚本已经从“会不会撞上AI服务”进入到了“全网寻猎任何可能暴露的AI入口”的阶段。
最值得关注的地方在于,扫描请求里携带的是标准的MCP握手消息,而不是简单的地址存在性检查。这意味着扫描器能够区分出真正具备工具调用、数据访问能力的服务器,与普通Web服务的差别。一旦某个MCP服务对初始化请求给出正确响应,下一阶段的探测就可能转向枚举该服务所绑定的数据库、内部API、文件系统、工单工具等业务资源。MCP原本设计的初衷是让AI代理获得与真实业务世界交互的权限,但如果没有身份认证就直接暴露在公网,就相当于为外部攻击者提供了一份机器可读的服务地图。即便没有立即的数据泄露,那份地图本身就已将组织的内部路径铺展在攻击者的视野中。
扫描目标还不止于MCP服务器。同一批探测活动也在寻找与AI编码助手相关的配置文件,其中包含了可能被开发者无意放置在公开目录中的settings文件和凭据信息。这些文件一旦被访问,可以泄露对代码仓库、计算实例乃至第三方AI服务的密钥,将风险从单一服务暴露升级为多系统失守。此外,攻击者同样在尝试定位直接暴露在互联网上的本地语言模型服务——那些本用于内部调试或单人使用的模型接口,若未经访问控制就挂在公网上,就可能被外部利用,不仅算力被挪用,甚至模型内部的提示工程、微调数据也会面临泄露。
互联网风暴中心在报告中建议,运营团队应立刻检查访问日志中是否存在异常的MCP流量,即使组织内部并未部署MCP服务,这类请求也应视为高价值侦察信号,并视情况进行阻断或限流。对于确实需要运行MCP服务的情况,必须确保启用了强身份验证,且除非业务有严格的外网直达必要,否则一律不对公网开放。从网络层限制访问范围,可以大幅降低服务被扫描发现的概率。而那些暂时不需要AI代理能力的环境,则可以把这类探针当作早期预警,只要请求的路由不在业务预期范围内,拒绝和监控就是最直接的防御动作。
热门跟贴