代理式AI的风险MCP骨干网开启新型攻击向量

Model Context Protocol（MCP）生态系统中的关键安全漏洞影响了不同组件，许多组织正在快速采用该协议以将AI模型与外部数据源集成。

AI的新型（脆弱）管道系统

MCP是由Anthropic开发的开源标准，使AI模型能够安全连接并与数据库、内容存储库和工具等数据源交互。它通过客户端-服务器架构，使像Anthropic的Claude这样的AI模型能够以标准、安全的方式从Slack检索实时数据、更新Jira票据或查询客户数据库。

官方描述将其比作"AI应用的通用适配器，类似于USB-C对于物理设备的作用。USB-C作为通用适配器连接设备到各种外围设备和配件。类似地，MCP提供了将AI应用连接到不同数据和工具的标准化方式。"

关键RCE安全漏洞

CVE-2025-49596：MCP Inspector漏洞

Tenable发现的CVE-2025-49596漏洞影响Anthropic的MCP Inspector开源工具，该工具用于测试和调试MCP服务器。该漏洞在通用漏洞评分系统（CVSS）严重性等级中被评为9.4分，涉及MCP Inspector中的代理服务器组件接受来自任何IP地址的连接而无需身份验证或来源验证，从而使其可从网络上的任何位置（甚至可能是互联网）访问。

该漏洞影响0.14.1版本之前的MCP Inspector。Anthropic已发布修复程序，并添加会话令牌身份验证和来源验证以减轻威胁。

Tenable的高级研究工程师Rémy Marot表示存在两种主要利用场景：如果攻击者与托管代理实例的机器在同一网络上，他们可以直接向其注入恶意命令；攻击者还可以通过恶意网页发送精心制作的HTTP请求，诱使代理在开发人员机器上执行任意代码。

CVE-2025-6514：mcp-remote命令注入漏洞

JFrog发现的CVE-2025-6514是一个命令注入问题，影响开源mcp-remote项目。该项目是一个代理，使大型语言模型（LLM）主机（如Claude Desktop）能够与远程MCP服务器通信，即使它们本机仅支持与本地MCP服务器通信。

该漏洞CVSS评分为9.6分，是一个关键的不当清理问题，允许在运行mcp-remote的客户端上进行操作系统命令注入。漏洞存在于mcp-remote版本0.0.5至0.1.15中。

MCP采用速度超过安全准备

JFrog安全研究副总裁Shachar Menashe表示，已经在本地网络上的攻击者可以相对容易地使用中间人（MITM）攻击来嗅探LAN流量，查看是否有人向易受攻击的端点发出HTTP请求，并注入恶意响应。

GitGuardian产品营销经理Soujanya Ain指出，MCP的快速采用正在超过组织利用它实现代理式AI功能的安全准备程度。“MCP服务器是代理工作流的骨干，正在迅速增加，已有超过5,000个发布到像Smithery.ai这样的公共注册表。”

她引用GitGuardian最近进行的研究显示，5.2%的这些服务器至少泄露了一个密钥——这一数字明显高于所有GitHub仓库4.6%的基线。“这些泄露包括承载令牌和X-API密钥等高风险凭据，如果被泄露，这些凭据允许横向移动、云访问和数据外泄。”

这种情况的发生很大程度上是因为组织在没有明确策略或安全防护措施的情况下竞相采用MCP。MCP协议的快速使用引入了新的攻击向量，包括工具抢占、提示注入和通过配置错误的本地MCP服务器进行未经授权的权限提升。

Ain指出，安全团队尚未将MCP服务器视为基础设施，这造成了巨大的盲点：“与所有基础设施一样，MCP服务器需要强化的接口、范围限定的凭据、审计跟踪，最重要的是需要身份感知的访问策略。”