MCP 這次真的火了！

自從Anthropic于 2024 年 11 月推出以來(lái)，它有望成為“將 AI 助手連接到數據所在系統的新標準”。

截至目前，該協(xié)議已被 OpenAI、微軟和谷歌等公司迅速采用；各大供應商紛紛推出 MCP 服務(wù)器，希望在 AI 代理工作流程中不失時(shí)機。同樣，阿里、騰訊、百度等國內大廠(chǎng)也毫無(wú)例外地統一宣布支持MCP協(xié)議。

簡(jiǎn)單說(shuō)，MCP在網(wǎng)絡(luò )上風(fēng)靡一時(shí)的原因很簡(jiǎn)單——人們已經(jīng)發(fā)現了它各種各樣的使用場(chǎng)景。但問(wèn)題是：最近，人們開(kāi)始注意到 MCP 服務(wù)器并不像看上去那么安全。

一、為什么 MCP 服務(wù)器很危險呢？

要了解這些危險，您首先需要了解什么是 MCP 服務(wù)器以及它是如何工作的。

1.MCP 服務(wù)器究竟是如何工作的？

MCP 服務(wù)器就像專(zhuān)業(yè)的管家，充當 AI 模型和外部資源之間的橋梁。它們提供特定的功能，例如訪(fǎng)問(wèn)文件、與數據庫交互或使用 API。每個(gè) MCP 服務(wù)器都專(zhuān)注于一項特定的任務(wù)，使 AI 能夠輕松使用這些工具，而無(wú)需為每項服務(wù)編寫(xiě)自定義代碼。

2.MCP 服務(wù)器的工作原理

連接：AI（充當 MCP 客戶(hù)端）連接到 MCP 服務(wù)器。

工具發(fā)現：服務(wù)器告訴 AI 它可以訪(fǎng)問(wèn)哪些工具或數據源。

通信：它們使用名為 JSON-RPC 2.0 的輕量級協(xié)議進(jìn)行通信，該協(xié)議允許快速和動(dòng)態(tài)的交換。

例如，如果人工智能需要從數據庫中獲取數據：

AI向MCP服務(wù)器詢(xún)問(wèn)最新的銷(xiāo)售數據。

MCP 服務(wù)器將請求轉換為數據庫查詢(xún)。

它執行查詢(xún)并將結果發(fā)送回 AI。

了解了這些，就知道MCP服務(wù)器的安全風(fēng)險有哪些了。

3.危險之處

1）工具中隱藏惡意指令（工具中毒）

攻擊者可以將有害命令隱藏在 MCP 工具描述中。這些指令對用戶(hù)不可見(jiàn)，但可以誘騙 AI 模型執行危險的操作。

工具描述可能看起來(lái)很正常（例如，“分析此文件”），但人工智能可能會(huì )秘密復制敏感文件（如密碼或客戶(hù)數據）并將其發(fā)送給黑客。

攻擊者可能會(huì )在“更新設置”等看似簡(jiǎn)單的任務(wù)背后隱藏代碼來(lái)刪除文件或竊取數據。

2）用戶(hù)看不到隱藏的風(fēng)險

人們只能看到簡(jiǎn)短的工具描述，而AI模型卻能看到完整的、可能有害的指令。更糟糕的是，許多MCP工具不會(huì )檢查隱藏的危險。

一款名為“整理文件”的工具在A(yíng)I運行時(shí)，實(shí)際上可能會(huì )刪除重要文檔。用戶(hù)除非檢查代碼，否則不會(huì )發(fā)現。

3）批準后的虛假更新（MCP Rug Pulls）

黑客可以在您批準工具后修改工具的描述，并在安裝后添加有害代碼。

想象一下，你安裝了一個(gè)計算器工具。后來(lái)，黑客對其進(jìn)行了更新，竊取了用戶(hù)在應用中輸入的信用卡號碼。這就像一個(gè)“假更新”騙局。

4）劫持可信工具（跨服務(wù)器攻擊）

惡意服務(wù)器可以覆蓋安全服務(wù)器的工具。這些攻擊不會(huì )在用戶(hù)日志中留下任何痕跡。

被黑客入侵的服務(wù)器可能會(huì )更改受信任的電子郵件發(fā)送工具，將所有電子郵件轉發(fā)到黑客的地址，即使您輸入了正確的收件人。

5）真實(shí)世界中有效的漏洞

Cursor AI 漏洞：名為“add()”的工具看似無(wú)害，但卻會(huì )從設置文件中秘密竊取登錄詳細信息（如密碼）。

虛假電子郵件工具：一種惡意工具，假裝向您的聯(lián)系人列表發(fā)送消息，但實(shí)際上卻將其發(fā)送給了黑客。

6）MCP 的內在弱點(diǎn)

MCP 完全信任工具描述，即使它們很危險。一臺服務(wù)器被黑可能會(huì )感染其他服務(wù)器。

如果黑客入侵了一個(gè)工具，他們就可以利用它攻擊所有連接的工具，就像連鎖反應一樣。

7）當今保護措施薄弱

大多數用戶(hù)并不知道 MCP 服務(wù)器的風(fēng)險有多大。工具也缺乏基本的安全保障。

如果某個(gè)工具更新了有害代碼，除非客戶(hù)端檢查更改（許多客戶(hù)端不會(huì )檢查），否則用戶(hù)不會(huì )知道。

二、如何保持安全

雖然 MCP 的概念很棒，但它也隱藏著(zhù)一些每個(gè)人都應該知道的風(fēng)險。為了安全起見(jiàn)，你可以遵循以下步驟：

• 在安全性提高之前，請避免使用不受信任的 MCP 服務(wù)器。

• 使用強有力的保護措施，例如：

工具固定：將工具鎖定為特定的、經(jīng)過(guò)驗證的版本。

用戶(hù)友好警告：清楚地顯示工具運行前的功能。

跨服務(wù)器隔離：分離工具，以便被黑客入侵的工具不會(huì )影響其他工具。

• 對于關(guān)鍵任務(wù)，請考慮像 Invariant 的安全堆棧這樣的解決方案，它增加了額外的保護層。

三、怎么辦？安全指南來(lái)了

但這并非代表著(zhù)MCP 服務(wù)器一無(wú)是處，當然它們也很有用。只不過(guò)，它們就像開(kāi)車(chē)不系安全帶一樣，確實(shí)很方便，但一步走錯就完蛋了。黑客可以在工具描述中隱藏惡意代碼，誘騙 AI 泄露你的機密，或者在你信任之后“更新”工具。

生存方法如下：

將每個(gè) MCP 服務(wù)器視為一個(gè)粗略的應用程序下載 - 避開(kāi)那些沒(méi)人信任的服務(wù)器。

通過(guò)固定將工具牢牢鎖定（這樣黑客以后就無(wú)法潛入）。

如果您必須使用 MCP，請像隔離放射性物質(zhì)一樣將其隔離 - 將其遠離您的重要物品。

總而言之，MCP 的技術(shù)很酷，但它仍在改進(jìn)中。謹慎使用，做好自我保護，或者等到“安全更新”發(fā)布后再完全信任它。