MCP服务器 on 办公AI智能小助手

arcade-mcp-server 默认硬编码密钥导致严重认证绕过漏洞

Sat, 13 Dec 2025 09:19:51 +0800

arcade-mcp-server 存在默认硬编码工作密钥，允许未经授权完全访问所有HTTP MCP工作节点端点 · CVE-2025-66454

漏洞详情

软件包 pip: arcade-mcp-server

受影响版本 < 1.9.1

已修复版本 1.9.1

描述

摘要 arcade-mcp HTTP服务器使用了一个硬编码的默认工作密钥（“dev”），该密钥在正常服务器启动过程中从未被验证或覆盖。因此，任何知道此默认密钥的未经认证的攻击者都可以伪造有效的JWT令牌，并完全绕过FastAPI认证层。这使得攻击者能够在没有凭证的情况下远程访问所有工作节点端点——包括工具枚举和工具调用。

流行MCP服务器中发现新的关键RCE漏洞

Mon, 24 Nov 2025 10:47:41 +0800

流行MCP服务器中发现新的关键RCE漏洞

人工智能开发的速度已经超过了安全编码实践的速度，攻击者正在注意到这一点。Imperva威胁研究最近发现并披露了Framelink Figma MCP服务器中的一个关键远程代码执行漏洞（CVE-2025-53967）。

MCP服务器安全工具指南：保护AI代理的关键技术

Wed, 19 Nov 2025 04:14:26 +0800

MCP服务器的安全挑战与新兴解决方案

随着MCP服务器日益普及，相关安全风险也随之增加。为应对这些风险，众多供应商开始推出旨在保护MCP服务器使用的产品。

Model Context Protocol允许AI代理连接到数据源，但该标准的初始版本存在严重的安全缺陷。过去几个月，众多供应商涌现以帮助解决此问题。如今，核心协议方面已取得一些进展：3月份增加了OAuth认证支持，6月份添加了对第三方认证服务器的支持。9月，MCP标准机构还推出了官方MCP注册表，以解决恶意MCP服务器冒充合法服务器的问题。

Kong Insomnia 12发布：强化MCP服务器开发与AI驱动测试

Sun, 09 Nov 2025 10:07:44 +0800

Kong发布Insomnia 12，增强MCP服务器开发能力

Kong今日发布了其开源API设计、模拟、调试和测试平台的最新版本。Insomnia 12新增多项功能，旨在帮助开发者更快速地构建和测试API及MCP服务器。

Azure DevOps本地MCP服务器正式发布：AI驱动DevOps自动化

Tue, 04 Nov 2025 00:48:50 +0800

Azure DevOps本地MCP服务器正式发布

微软已正式发布Azure DevOps本地MCP服务器，从公开预览阶段过渡到生产就绪状态。该服务器使AI助手能够访问Azure DevOps数据，包括工作项、拉取请求、测试计划、构建和Wiki。这让IT专业人员能够通过自然语言命令自动化DevOps工作流，同时在本地网络内保持数据安全。

PayPal推出MCP服务器加速智能代理商务革命

Mon, 27 Oct 2025 10:08:12 +0800

PayPal开始部署MCP服务器以加速代理商务

作者：PayPal技术博客团队 | 发布于PayPal技术博客 | Medium

以下内容转载自PayPal开发者博客，作者为PayPal人工智能高级副总裁Prakhar Mehrotra

使用Spring AI保护MCP服务器的完整指南

Thu, 09 Oct 2025 02:49:25 +0800

使用Spring AI保护MCP服务器

模型上下文协议（简称MCP）已经席卷了AI世界。如果您一直关注我们的博客，可能已经阅读过该主题的介绍文章《连接您的AI到一切：Spring AI的MCP启动器》。

重磅发布：Awesome Copilot MCP服务器 - 简化GitHub Copilot定制化搜索

Mon, 06 Oct 2025 01:06:23 +0800

安装Awesome Copilot MCP服务器

先决条件：安装需要已安装并运行Docker Desktop，因为此服务器在容器中运行。

安装此MCP服务器非常简单。点击以下按钮直接在VS Code中安装。

首款恶意MCP服务器现身：流氓Postmark-MCP包窃取电子邮件

Tue, 30 Sep 2025 11:23:03 +0800

首款恶意MCP服务器被发现通过流氓Postmark-MCP包窃取邮件

网络安全研究人员发现了被描述为迄今为止首个在野外发现的恶意模型上下文协议（MCP）服务器实例，这加剧了软件供应链风险。

根据Koi Security的报告，一名看起来合法的开发者在名为"postmark-mcp"的npm包中悄悄植入了恶意代码，该包复制了同名的官方Postmark Labs库。恶意功能是在2025年9月17日发布的1.0.16版本中引入的。

恶意MCP服务器利用AI代理窃取敏感邮件事件曝光

Fri, 26 Sep 2025 22:35:26 +0800

恶意MCP服务器利用AI代理窃取敏感邮件

企业普遍采用MCP服务器赋予AI助手"上帝模式"权限：发送邮件、执行数据库查询和自动化任务。但首个真实世界的恶意MCP服务器postmark-mcp悄然出现，窃取所有经其处理的邮件。

经典MCP服务器SQL注入漏洞如何威胁整个AI代理系统

Sat, 20 Sep 2025 05:27:06 +0800

为什么经典MCP服务器漏洞会威胁整个AI代理系统

关键要点

供应链影响范围广泛：Anthropic存在漏洞的SQLite MCP服务器在被归档前已被分叉超过5000次。这意味着未修补的代码现在存在于数千个下游代理中——其中许多可能已在生产环境中运行—— silently继承SQL注入风险，任何攻击载荷都可在整个代理中传播。
SQLite MCP服务器漏洞可能影响数千个AI代理：传统SQL注入为存储式提示注入开辟了新路径，使攻击者能够直接操纵AI代理，显著提高攻击成功率。
SQL注入漏洞通过隐式工作流信任实现权限提升：AI代理通常信任内部数据（无论是来自数据库、日志条目还是缓存记录），代理通常将其视为安全数据。攻击者可利用这种信任嵌入提示，随后让代理调用强大工具（电子邮件、数据库、云API）来窃取数据或横向移动，同时绕过早期安全检查。
无官方补丁计划，开发者必须自行实施修复：使用未修补分叉的组织面临重大运营和声誉风险，包括潜在数据泄露和服务中断。本文提供了推荐修复列表以帮助缓解漏洞。

漏洞详情

Trend™ Research发现了一个简单但危险的缺陷：Anthropic参考SQLite模型上下文协议（MCP）服务器实现中存在经典SQL注入（SQLi）漏洞。尽管GitHub存储库已于2025年5月29日归档，但此前已被分叉或复制超过5000次。需要注意的是，该代码明确标注为参考实现，不适用于生产环境。