MCP服务器的安全挑战与新兴解决方案

随着MCP服务器日益普及，相关安全风险也随之增加。为应对这些风险，众多供应商开始推出旨在保护MCP服务器使用的产品。

Model Context Protocol允许AI代理连接到数据源，但该标准的初始版本存在严重的安全缺陷。过去几个月，众多供应商涌现以帮助解决此问题。如今，核心协议方面已取得一些进展：3月份增加了OAuth认证支持，6月份添加了对第三方认证服务器的支持。9月，MCP标准机构还推出了官方MCP注册表，以解决恶意MCP服务器冒充合法服务器的问题。

然而，显著的安全漏洞依然存在。例如，认证是可选的，系统容易受到提示注入、工具中毒、令牌盗窃、跨服务器攻击、消息篡改等威胁。

不同类型MCP服务器部署的挑战

MCP服务器部署主要有三种类型，每种都有其特定的安全挑战：

内部MCP服务器：公司在自己控制的基础设施上设置内部MCP服务器，供其控制的AI代理访问内部数据或工具。低风险用例可能包括允许员工使用AI代理搜索非敏感文档，而高风险用例可能涉及访问客户数据。

外部数据源访问：公司可能允许其AI代理通过MCP服务器访问外部数据源或工具。此处的担忧是AI代理获取的信息可能包含恶意指令，因为服务器或数据源可能受到攻击者破坏。

对外暴露数据的内部MCP服务器：内部MCP服务器向外部世界暴露公司数据或工具。如果MCP服务器提供对产品描述或用户手册的访问，可能是低风险用例；但如果允许外部合作伙伴连接并下订单、提交发票和更改付款地址，则可能极具风险。

MCP安全平台的关键功能

无论公司将其代理连接到第三方MCP服务器，还是将其MCP服务器连接到第三方代理，都存在数据泄漏、提示注入和其他安全威胁的风险。供应商目前提供的MCP安全工具包括：

• MCP服务器检测：扫描服务帮助公司发现环境中的所有影子MCP服务器实例
• 运行时保护：监控所有通信以防止提示注入、数据泄漏等问题
• 认证和访问控制：除了OAuth支持外，供应商还提供零信任和最小权限控制框架
• 日志记录和可观测性：收集MCP日志、提醒安全团队安全事件或策略违规的平台

提供MCP安全工具的供应商

超大规模云提供商

• AWS：7月推出了自己的代理AI平台Amazon Bedrock AgentCore，包含支持MCP的网关、身份管理系统和可观测性
• Microsoft：4月宣布了基本的Azure MCP服务器，随后增加了对Azure Key Vault的支持，并在Azure AI Foundry Agent Service中添加了MCP支持
• Google Cloud：4月宣布了用于数据库的MCP工具箱，内置认证和可观测性，9月发布了基于集中式MCP代理架构的安全参考架构

主要技术提供商

• Cloudflare：宣布了MCP Server Portals，使企业能够集中、保护和观察每个MCP连接
• Palo Alto Networks：6月推出了Prisma AIRS MCP Server，位于AI代理和MCP服务器之间，检测数据中的恶意内容
• SentinelOne：Singularity Platform提供对MCP交互链的可见性，以及对本地和远程MCP服务器的警报和自动事件响应

初创公司

• Acuvity：通过最小权限执行、不可变运行时、持续漏洞扫描、认证和威胁检测来强化MCP服务器
• Akto：6月推出了MCP安全解决方案，声称是首个专门构建的保护MCP服务器的专用安全解决方案
• Invariant Labs：MCP-Scan是执行MCP服务器静态分析的开源扫描器，并进行实时监控以检测工具中毒攻击
• Javelin：AI Security Fabric平台包括MCP安全功能，如扫描风险服务器或阻止代理工具或数据请求
• Lasso Security：开源MCP网关，允许配置和生命周期管理MCP服务器，并清理MCP消息中的敏感信息
• MCPTotal：提供中心来管理、运行和监控安全沙盒环境中的MCP服务器
• Noma：最近推出的AI Agent Security解决方案支持发现MCP连接、漏洞扫描、访问策略执行等
• Obot：Obot MCP网关是管理MCP服务器、定义安全访问策略以及跟踪使用和合规性的开源平台
• Operant：Operant MCP Gateway自动编目MCP工具，发现AI代理，并跟踪代理与服务器之间的流量
• Solo：8月彻底改革了其Agent Gateway以支持MCP和A2A协议
• Teleport：其Infrastructure Identity Platform的Secure MCP工具允许公司统一管理人类、机器、工作负载、设备和AI身份