近2000台MCP服务器存在完全安全缺失

作为智能体AI核心组件的MCP（Model Context Protocol）服务器，其身份验证机制竟被设置为可选功能——而现实情况是根本无人启用它。这意味着攻击者可以轻松获得这些服务器的完全控制权。

漏洞现状

网络安全研究人员通过扫描发现：

• 当前暴露在互联网的1,862台MCP服务器全部未配置任何访问控制
• 测试样本中119台服务器均会无条件响应tools/list请求，暴露所有可执行功能
• 实际案例包括：汽车维修成本数据库、企业项目管理面板、法律案例库等敏感系统

攻击面分析

Knostic研究工程师Heather Linn指出：

“我们发现有人通过MCP暴露数据库连接器、云服务管理工具。有个汽车维修服务商用它管理维修进度和成本估算——这些数据都能被公开查询”

潜在攻击方式包括：

1. 任意命令执行：可能导致完整系统沦陷
2. 数据泄露：窃取API密钥、凭证等敏感信息
3. “钱包耗尽"攻击(DoW)：恶意消耗受害者计算资源

技术根源

MCP协议存在双重问题：

1. 协议规范未强制要求认证机制
2. 用户群体普遍缺乏安全意识：
   • 相比传统云计算，AI技术"开箱即用"特性吸引了大量非专业用户
   • 开发者未将安全作为默认配置

行业响应

尽管Anthropic公司已更新规范：

• 新版MCP仍未强制认证，但提供了相关指南
• 安全社区与厂商保持良好协作关系
• 研究人员强调这是新技术发展必经的"成长阵痛”

该事件暴露出AI基础设施在快速普及过程中面临严峻的安全挑战，亟需建立更严格的安全基线标准。

图：Panther Media Global via Alamy Stock Photo