AI的USB-C：MCP（模型上下文协议）缘何正成为网络安全的新战场

在刚刚闭幕的的新RSAC 2025上，MCP（模型上下文协议）无疑是模型个热门的新兴话题。在这个言必谈AI安全的上下网络安全盛会上，被认为将在不断发展的文协网络 AI 驱动型安全格局中举足轻重的MCP，引发了广泛的议缘关注。

RSAC 2025 上的何正MCP

在刚刚结束的RSAC 2025大会上虽未成为主角，但已引发安全领域的源码库安全初步关注
。

摩根大通CISO Patrick Opet在大会期间发表公开信强调 ，战场虽然MCP旨在简化和标准化组织内不同系统之间的的新数据访问和交换，但它们可能无意中创建了高度互联的模型数据环境 。如果攻击者在MCP环境中获得特权访问权限，上下跨众多系统的文协网络广泛数据泄露和横向移动的可能性将大大提高 。而不容忽视的议缘现实是，组织无法从当今互联的何正环境中撤退。云计算

一些CISO将MCP描述为"零信任的安全对立面"
，因为其隐式信任模型和缺乏内置安全控制，引发了关于如何有效保护MCP部署的讨论。此外
 ，MCP还被强调作为Agentic AI的基础协议 ，有望通过使AI Agent能够与人类分析师一起自主行动来改变安全运营 。

因此同时，多家厂商发布了与MCP安全相关的产品和解决方案，反映了业界对AI代理与企业数据交互安全的日益关注：

Bedrock Security推出了其MCP服务器，旨在为AI代理和企业数据之间提供安全、标准化的服务器租用网关；Salt Security发布了Salt MCP服务器，该服务器利用开放的MCP标准
，在与API交互时为AI代理提供上下文感知和企业级精确性；Teleport宣布推出针对MCP环境的新安全平台 ，专注于身份和访问管理；SentinelOne强调了其针对MCP定制的统一检测和响应能力 ，将终端安全扩展到覆盖AI驱动的工作流。Versa Networks、AppOne和Backslash等供应商也推出了MCP服务器 ，专注于启用MCP通信。

除了各种不同产品和解决方案陆续推出以外，谷歌还开源了其MCP服务器，作为其构建AI驱动安全开放生态系统更广泛计划的一部分。模板下载这些MCP服务器已集成到Google关键安全平台中，使用户能够构建利用Google Cloud和生态系统工具的自定义安全工作流  。这种开源方法促进了安全社区的协作和反馈，以发展MCP功能并应对随着Agentic AI采用增长而出现的新安全挑战 。

为什么MCP如此重要

MCP于2024年底推出，作为一种通用协议，连接AI模型（如大语言模型）与各种数据源和服务。

安全牛认为，MCP最重要的价值在于，它解决了AI集成中的一个主要瓶颈：当前AI模型连接外部工具和数据源的方式分散且复杂。免费模板MCP是一种开放标准，它就像一种通用语言或"AI的USB-C"
，使AI Agent能够通过单一、标准化的接口与许多不同应用程序无缝通信。

OpenAI、Anthropic 、Cloudflare和微软等主要公司都在采用它 。这种快速采用正在推动对MCP安全框架和最佳实践的迫切需求。具体来说 ，MCP的关键价值在于 ：

统一集成：在MCP之前 ，每个AI-工具连接都需要自定义适配器或代码，源码下载使集成变得劳动密集、脆弱且难以扩展
。MCP让开发者可以实现一种任何AI都能用来与任何MCP兼容工具交互的协议，极大地简化了连接性。工具互操作性
：不同工具有不同的API和数据格式
，迫使AI将意图转换成多种"方言"。MCP通过让工具以通用格式声明其功能来标准化这种交互 ，因此AI可以使用自然语言命令调用它们，无需脆弱的提示工程。扩展AI能力：MCP将AI助手从孤立的文本预测器转变为强大的Agent，能够跨多个软件工具观察、规划和行动，获取数据、编辑设计
、控制应用程序和自动化工作流，而无需手动切换上下文 。厂商和模型无关性 ：MCP是开放和通用的 ，允许企业和开发者混合搭配AI模型和工具，而不被锁定在单一生态系统中 。这种灵活性降低了风险并使AI集成具有面向未来的特性。提升生产力和创新 ：通过MCP
，AI可以跨工具链接操作（例如，设计到代码工作流、自动化测试、多步骤业务流程） 
，实现以前因过于复杂而难以实施的新水平的自动化和效率。加速业务创新：MCP通过允许AI Agent直接与业务系统（预订 、支持 、目录）对接
，开辟了客户交互的新渠道。它还通过标准化连接加速了AI功能开发，微软等大公司发布了支持MCP的SDK。MCP面临的主要安全威胁

MCP在通过广泛采用改变AI集成的同时，也带来了新的安全隐忧。MCP通过其连接AI与数据/服务的桥梁角色引入了重大的新攻击面 。最新威胁利用了弱身份验证 、过度权限 、恶意负载注入和未监控的MCP部署：

上下文污染：攻击者操纵上游数据源（文档、工单、数据库）向AI模型输入中注入恶意指令或误导性上下文 ，在不改变模型本身的情况下影响输出 。这可能导致数据泄露或AI执行未授权操作。不安全的连接器和过度特权访问 ：MCP服务器通常使用存储的凭证和广泛权限与多个内部系统集成 。一旦被攻破 ，攻击者可以转向连接的系统，提升权限或窃取敏感数据
 。许多MCP工具请求过度访问权限（如完全的收件箱访问权），放大了潜在损害。缺乏强健的身份验证和授权
：MCP实现通常缺乏强制性身份验证，允许未授权用户或恶意MCP服务器访问内部上下文或冒充合法服务。这可能导致凭证盗窃、未授权数据访问或拒绝服务(DoS)攻击。许多MCP示例使用未加密的HTTP ，使凭证面临被拦截的风险
。提示注入和恶意负载：攻击者在工具描述 、提示模板或MCP服务器获取的数据中嵌入隐藏指令或恶意命令 。这可能导致AI助手执行未授权操作 ，如泄露机密信息或静默执行有害命令
 。影子MCP服务器风险：组织面临未经安全团队知晓安装的MCP服务器（"影子MCP"）风险，这创造了安全盲点和未监控的访问路径。这些可能被利用于未授权访问、数据泄露或意外破坏性操作 。供应链风险和恶意MCP服务器：缺乏官方MCP服务器注册表 
，使攻击者能够通过非官方存储库分发伪装成合法工具的恶意MCP服务器 。用户集成这些服务器可能会执行具有广泛权限的任意恶意代码。令牌盗窃和服务器入侵：MCP用于访问Gmail或云存储等服务的OAuth令牌是主要攻击目标。盗取这些令牌可允许攻击者冒充用户或设置欺诈性MCP服务器，获取对敏感账户和数据的广泛访问。敏感数据泄露与非法流出：由于未对操作数据进行必要的脱密处理，使得敏感信息（如财务数据、研发文档、商业机密  、客户隐私）上传到外部大模型，造成组织敏感数据泄露，造成安全事故与声誉损失 。跨连接器攻击：涉及多个连接器的复杂MCP部署可能被攻击者利用 ，通过操纵连接器之间的交互来窃取数据或跨系统提升权限 。本地MCP服务器风险 ：提供文件系统或命令shell访问的本地MCP服务器 ，如果身份验证薄弱，可能通过恶意指令或权限提升被利用，潜在导致系统被攻破。MCP安全防护的9个关键

MCP安全对于在企业环境中安全地使AI Agent与外部工具和数据交互至关重要 。基于以上风险，安全牛认为，MCP安全防护应该做好以下几点
：

1.用户同意和控制

在向MCP服务器暴露或共享任何数据或调用工具前，始终获取明确的用户同意；提供清晰 、透明的用户界面
，显示访问了哪些数据 、执行了哪些操作，并允许用户批准或拒绝请求；实施精细的同意选项，使用户能够基于每个操作控制权限 。

2.强身份验证和授权

使用强大的标准化身份验证方法（如OAuth 2.1）验证客户端和服务器；执行严格的授权，遵循最小权限原则——仅为每个工具或数据访问授予必要的最小权限；实施快速过期的即时(JIT)访问令牌，以减少凭证泄露的风险。

3.安全通信

始终使用加密通信渠道（TLS/HTTPS）保护传输中的数据；避免使用未加密的HTTP或不安全的协议进行MCP交互 。

4.工具安全和审核

将MCP工具视为任意代码执行环境 ，部署前进行严格审核；清晰记录工具行为
，使用户在授权前了解每个工具的功能；将工具限制在预先批准的操作范围内 ，监控异常或意外行为，防止工具被污染。

5.数据隐私和保护

通过强大的访问控制和静态及传输中的加密保护敏感数据；避免在没有明确用户同意的情况下传输敏感资源数据；结合数据丢失防护(DLP)技术 ，如基于模式的编辑和与DLP系统集成，防止意外数据泄露；对需要外部 AI 大模型处理的敏感数据，在符合组织安全策略的前提下，先行进行脱敏处理。

6.监控、日志记录和事件响应

集中记录所有重要的MCP事件（工具调用
、数据请求、错误）以供分析和审计；实施持续监控和异常检测，及早识别可疑的MCP活动；开发并维护针对MCP相关威胁（如工具污染或数据泄露）的事件响应手册 。

7.部署和网络安全

将MCP服务器隔离在专用安全区域或网络段中，实施严格的流量过滤；、用API网关或微服务架构强制执行协议验证、速率限制和威胁检测；定期轮换凭证和密钥  ，并安全管理它们。

8.LLM采样控制

要求用户明确批准任何LLM采样请求；允许用户控制发送哪些提示以及服务器可以访问哪些结果 ，限制数据暴露 。

9.遵循纵深防御和零信任原则

不假设隐式信任；持续验证和授权每个MCP交互；使用即时访问、持续验证和行为监控来最小化风险；结合多层安全控制全面保护MCP环境。

以上这些最佳实践有助于减轻提示注入、恶意MCP服务器 、凭证泄露、数据泄露和未授权工具执行等风险。