为了检测MCP安全风险，我们开发了一个AI Agent

作者：腾讯朱雀实验室 Nicky

为了共建更安全的MCP生态，帮助普通MCP用户、MCP开发者、MCP市场与托管商更全面的检测MCP服务安全性，我们开源了基于AI Agent驱动AI-Infra-Guard V2版本，实现对工具投毒、数据窃取、命令注入等9类MCP服务常见安全风险的一键智能检测，欢迎大家体验、反馈BUG与贡献代码。

1

MCP的隐秘威胁：通过间接提示注入劫持Cursor

Fetch是MCP官方发布的用于获取Web网页内容的MCP服务，是目前使用量最大的MCP服务之一。朱雀实验室在分析与测试后发现，当Cursor等MCP客户端用户使用Fetch访问外部网页数据时，可能会被页面中攻击者添加的恶意指令劫持，导致远程任意命令执行。

如上图所示，攻击者成功获取当前系统权限与用户名，并弹窗进行提示（嘲讽）

这类在GitHub项目文档、外部网页与文件中添加隐藏指令，并通过AI Agent工具抓取解析并输出引入到大模型对话上下文中完成攻击的方法，我们称之为"间接提示注入（Indirect Prompt Injection）"。

如上图所示，攻击者在外部数据植入恶意指令间接劫持AI Agent

相比直接在对话中通过提示注入攻击AI ChatBot，这种攻击方法利用的是正常MCP服务的工具特性难以检测，同时攻击链路太长与利用条件复杂，在MCP未发布前并未受到太多关注，但随着MCP打通AI Agent的任督二脉，朱雀实验室发现这类风险已成为MCP生态中的隐秘威胁，需要受到行业重视。

2

MCP的安全挑战与信任危机

MCP协议作为AI Agent连接外部工具与数据的事实性标准，直接影响着AI Agent与用户隐私安全性。结合行业报告与朱雀实验室的实战研究发现，当前MCP生态面临三大核心安全挑战：

1.  MCP协议实现缺陷导致AI Agent劫持风险。其核心问题在于，MCP客户端将工具描述及输出内容直接引入AI对话上下文，并且缺乏对不同工具会话上下文的有效隔离，使得工具投毒（Tool Poisoning）、地毯式骗局（Rug Pulls）和工具覆盖（Tool Shadowing）等直接提示注入攻击，以及上述的间接提示注入攻击，都能够劫持AI Agent执行非预期操作，引发用户隐私数据泄露。

如上图所示为Invariant Labs发现的工具投毒攻击原理

2. MCP服务的代码存在安全漏洞。MCP支持多种编程语言实现，功能多样化导致安全风险增加。安全公司Equixly的研究表明，多个主流MCP服务存在命令注入、任意文件读写和服务器端请求伪造（SSRF）等传统Web安全漏洞，特别是支持SSE/Streamable HTTP远程访问的MCP服务，一旦存在漏洞会更容易被利用。

如上图所示为Equixly的漏洞类型统计数据

3. MCP分发生态的信任危机。当前MCP生态缺乏如Google Play、Apple Appstore等统一、权威的分发市场和严格的安全审计机制，这使得恶意开发者可以在各种第三方MCP市场发布伪装成正常应用的恶意MCP（如“微信聊天助手”、“游戏管家”与“商户通”），欺骗用户下载安装，进而窃取聊天记录、账号凭证或商家私钥等敏感信息。缺乏专业安全知识的普通用户无法判断MCP服务的安全性，久而久之可能产生信任危机。