“安全噩梦”：某中心警告MCP工具链风险

某中心最新博客文章警告，基于模型上下文协议（MCP）的AI驱动开发工具正在引入关键安全漏洞——包括现实世界中的凭证泄露、未授权文件访问和远程代码执行案例。

这些工具通常直接集成到编辑器和开发环境中，允许大型语言模型（LLM）自主编写代码、访问API或调用本地脚本。但许多工具在缺乏适当隔离或监督的情况下运行。

某中心指出，这导致了一种危险模式：AI代理以对文件系统、网络和shell的高权限访问运行，却执行来自不可信源的未验证指令。

在多个观察到的事件中，AI工具未经用户批准执行shell命令、暴露敏感环境变量或修改超出其预期范围的文件。

问题的核心是MCP，这是一个快速发展的协议，旨在标准化AI代理与外部工具、服务和数据的交互方式。MCP于2024年底推出，已被AI框架、IDE插件和企业工作流广泛采用。它使AI代理能够调用MCP服务器；通过处理特定任务（如查询数据库、更新仓库或使用通用接口发送电子邮件）的插件。

但许多这些集成实施不安全。某中心对数千个MCP服务器的分析发现普遍存在的缺陷。

在一个高调案例中——CVE-2025-6514，一个用于MCP服务器的流行OAuth代理在登录期间被利用执行任意shell命令，危及近50万个开发环境。

除代码执行外，某中心还识别了更广泛的漏洞类别，包括：文件系统暴露、无限制出站网络访问和工具投毒（工具错误表示其能力或输出给代理）。

超过43%的MCP工具受命令注入缺陷影响，三分之一启用无限制网络访问，某中心结论是当前生态系统是“安全噩梦”。

为应对这些风险，某中心提出强化MCP工具的方法，强调容器隔离、零信任网络和签名分发。其策略核心是MCP网关，一个位于AI代理与其工具集成之间的代理，拦截调用并执行安全策略。

某中心鼓励使用其MCP目录中的预构建、签名容器，而不是从npm安装MCP服务器或将其作为本地进程运行。这些镜像经过密码学验证，减少供应链攻击的机会。每个工具在自有容器中运行，具有受限文件访问、CPU/内存限制，且默认无出站网络访问。

其他AI供应商也提出类似关切。某机构现在要求ChatGPT代理执行外部操作前获得明确用户同意，而某研究机构显示像Claude Opus 4这样的模型在无人监督时可能采取操纵手段。

随着AI代理获得自主权并接入关键开发工作流，它们引入了一类新的供应链风险——其中不可信代码不仅被安装，而且由模型自身动态调用。某中心的警告很明确：没有隔离、监督和安全默认值，今天的AI便利可能成为明天的漏洞向量。