MCP从Anthropic提出到现在,已经有超过10000个公开server。月SDK下载量9700万次。ChatGPT、Claude、Cursor、Copilot全面支持。
然后安全研究者开始仔细看里面。
他们发现的东西让人不太舒服。
工具投毒(Tool Poisoning)
这是目前最普遍的MCP攻击类型。
逻辑很简单:MCP server向AI客户端暴露一组工具,工具有名称和描述。AI模型在接受调用时,会读这些描述来决定怎么用这个工具。
如果这个描述里藏了恶意指令呢?
攻击者可以在工具描述里嵌入隐藏的提示词注入,让模型在执行正常工具的同时,悄悄执行额外的操作——比如把用户数据泄露到外部地址,或者读取其他不该读的文件。
Adversa AI的研究确认:Anthropic、OpenAI、Cursor、Zapier等几乎所有主流MCP客户端都受到这类攻击的影响。
成本放大攻击(Resource Amplification)
这个更隐蔽。
恶意MCP server可以操控AI agent进入一个工具调用循环——每次工具调用触发下一次,层层嵌套,但从外部看不出来。
实验数据:这种攻击可以把单次查询的实际计算成本放大到正常水平的658倍,而且不触发标准的安全检测。
对于按token计费的用户,这意味着账单可以在不知情的情况下暴涨。
远程代码执行(RCE)
最严重的那个。
研究者发现了多个CVSS评分9.0以上的漏洞,影响了数十万个MCP安装实例。利用这些漏洞,攻击者可以在受害者系统上执行任意代码——就是完全控制。
为什么传统安全手段失效
问题的根本在于:MCP架构里的路由器是LLM本身。
传统防火墙、RBAC(基于角色的访问控制)是静态规则,看IP、看路径、看权限表。但LLM的工具调用是基于语义判断——你没法用静态规则检查一个模型是不是被说服做了什么不该做的事。
防火墙不认识这个工具调用是因为模型被注入了提示词。
现在能怎么做
安全社区已经开始行动了:
- mcp-sec-audit 工具包:静态+动态分析,在MCPTox基准测试上达到100%检测率
- SAFE-MCP 框架:社区主导的安全标准(The New Stack有详细报道)
- Adversa AI每月发布MCP安全资源汇总,April 2026版本刚出
如果你在生产环境里接入了第三方MCP server,现在值得认真评估:
- 那个server是不是你信任的来源?
- 工具描述里有没有异常内容?
- 是否有机制检测异常的工具调用频率?
MCP的采用速度比安全机制的成熟速度快太多了,这个差距正在变成实际风险。
参考来源:MCP is Alive, but Faces Challenges(AI Business);Building With MCP? Mind the Security Gaps(The New Stack);Top MCP security resources — April 2026(Adversa AI);MCP Security: TOP 25 MCP Vulnerabilities(Adversa AI)