恶意MCP服务器利用AI代理窃取敏感邮件

企业普遍采用MCP服务器赋予AI助手"上帝模式"权限：发送邮件、执行数据库查询和自动化任务。但首个真实世界的恶意MCP服务器postmark-mcp悄然出现，窃取所有经其处理的邮件。

自发布以来，postmark-mcp每周下载量达1500次，无缝集成到数百个开发工作流中。1.0.0至1.0.15版本运行正常，甚至获得积极推荐。但1.0.16版本的第231行代码隐藏了恶意指令：通过隐藏BCC将每封外发邮件抄送至攻击者服务器giftshop.club。

攻击检测过程

Koi风险引擎检测到1.0.16版本行为异常，研究人员反编译更新后发现BCC注入攻击。攻击者复制ActiveCampaign官方代码库的合法代码，插入恶意行后以相同包名发布到npm。

影响范围评估

保守估计每周20%下载量处于活跃使用状态，约300个组织受影响。若每个组织每日发送10-50封邮件，日均非法窃取量达3000-15000封。

MCP系统的根本性缺陷

MCP服务器与标准npm包不同：它们自主运行，AI助手会无条件执行每个命令。AI无法检测隐藏BCC字段，仅显示"发送邮件-成功"。

应急响应措施

作者已从npm删除该包，但已感染系统仍需清理。安全团队建议：

• 立即移除1.0.16及以上版本
• 轮换所有暴露的凭证
• 审计环境中所有MCP服务器
• 建立供应链网关阻断未验证的MCP服务器

该事件警示需要建立更严格的安全审查机制，而非盲目信任第三方工具。