配置不当的MCP服务器使AI代理系统面临入侵风险

风险概述：默认配置暴露命令执行漏洞

数百台用于连接大语言模型（LLM）与第三方服务、数据源及工具的模型上下文协议（Model Context Protocol，MCP）服务器存在默认配置缺陷，可能导致用户面临未授权的操作系统命令执行等风险。

随着代理型AI（Agentic AI）的兴起，MCP服务器正迅速成为增强AI模型推理上下文的关键工具。但安全研究人员警告，大量公开共享的MCP服务器存在不安全配置，攻击者可利用这些缺陷入侵系统或泄露敏感数据。应用安全公司Backslash近期扫描了公共仓库中的数千台MCP服务器，发现数百台存在危险配置错误，包括默认暴露于不可信网络和操作系统命令注入路径。

"除了代码执行，MCP还能成为提示注入（prompt injection）和上下文污染（context poisoning）的隐蔽通道，"Backslash研究人员在漏洞报告中指出，"恶意篡改的公共内容可能改变LLM的认知——返回误导性数据或重定向代理逻辑。"

MCP服务器：AI代理的核心基础设施

由Anthropic公司开发的MCP协议旨在标准化LLM与外部数据源及工具的双向交互方式，通过持久化记忆机制增强推理上下文。这对构建AI代理和氛围编程（vibe coding）至关重要——后者指通过自然语言提示引导LLM构建完整应用程序的开发实践。

该协议发布不足一年便获快速普及，数万台连接LLM与特定服务及专有工具的MCP服务器已上线。Anthropic已发布与Google Drive、Slack、GitHub等流行服务交互的MCP参考实现。今年3月OpenAI采用该协议，4月谷歌宣布计划将其整合至Gemini模型及基础设施。

部分MCP还能与Cursor、Windsurf等AI辅助集成开发环境（IDE）对接。除访问外部工具外，MCP可交互本地文件系统、在内存构建知识图谱、通过命令行工具获取网络内容及执行系统命令。

"邻居劫持"：暴露互联网的MCP服务器

多数MCP服务器默认缺乏强认证机制。当部署在本地系统时，任何能访问其通信接口者都可能通过协议发送命令。若服务器仅监听本地地址（127.0.0.1），这并非问题。但Backslash发现数百台MCP服务器默认将通信接口绑定至0.0.0.0（所有网络接口），研究人员将此类配置缺陷命名为"NeighborJack"。

"设想在共享办公空间编码时，"研究人员描述，"邻座人员可通过你的MCP服务器冒充工具执行操作，如同将未锁笔记本留在公共场所。"

未认证的系统命令执行

攻击影响取决于MCP具体功能。多数情况下攻击者可能查询专有数据源或通过配置凭证访问第三方服务。但研究人员在数十台服务器上发现了可导致任意命令执行的攻击路径，包括子进程滥用、输入未净化及路径遍历等漏洞。

"当网络暴露遇上过度权限，就形成了完美风暴，"研究人员指出，"同一网络中的攻击者能完全控制主机——无需登录、授权或沙箱限制。我们已发现多台服务器存在此致命组合。"

提示注入与上下文污染

由于MCP设计用于访问数据库等数据源并通过多种工具抓取内容，其面临通过恶意输入的远程攻击面较大。在概念验证中，研究人员构建了使用Cheerio库提取网页元数据的MCP服务器，当指向包含隐藏LLM系统提示的网站时，连接的Cursor IDE执行了将用户OpenAI密钥回传的攻击。

"在未公开的发现中，我们确认了通过良性公开文档触发级联入侵的攻击路径，"研究人员补充，"问题不在于MCP代码本身，而在于其访问数据源的配置。该漏洞影响数万用户的流行工具，我们正与厂商协调披露事宜。"

缓解措施

Backslash团队已建立可免费查询的MCP服务器安全中心数据库，并提供基于网页的IDE配置评估服务（需注册）。对开发者的建议包括：验证净化所有外部输入、限制文件系统访问、防止LLM响应泄露令牌等敏感数据、实施API调用管控、验证数据源可靠性，以及优先采用标准输入输出传输机制替代服务器推送事件。