McpSafetyScanner：爆火的MCP协议存在严重安全漏洞

发布时间：2025 年 04 月 02 日

MCP

添加请注明MCP

如遇无法添加，请+ vx: iamxxn886

---

一、为什么需要关注 MCP 安全漏洞？

1.1 AI 生态的"USB-C"暗藏危机

Model Context Protocol（MCP）作为 AI 领域的标准化接口协议，在短短 4 个月内就获得 GitHub 上 27,000 个星标，被集成到 Claude Desktop、Slack、IBM Watson 等主流平台。

这种快速普及使其成为 AI 组件间的"万能接口"，类似于电子设备中的 USB-C 接口。

然而研究发现，MCP 协议在设计时过度强调兼容性而忽视了安全防护，导致系统暴露在多重攻击风险之下。例如，在测试中研究人员发现，通过 MCP 接口可以直接调用系统级操作，这为恶意攻击者提供了可乘之机。

1.2 三大致命攻击路径

通过对 Claude 3.7 和 Llama-3.3-70B 的测试验证，研究人员确认了三种通过 MCP 协议突破 LLM 安全防护的攻击方式：

1. 1. 恶意代码执行（Malicious Code Execution, MCE）：攻击者通过 MCP 接口向系统文件植入后门程序。例如在测试中，研究人员成功让 AI 模型将 netcat 监听命令写入 bash 配置文件，使得每次用户打开终端时都会自动建立远程连接。如下图：

1. 1. 远程访问控制（Remote Access Control, RAC）：直接获取系统控制权限。实验显示，通过精心设计的提示词，攻击者可以诱导 AI 模型在用户系统上创建 SSH 授权密钥文件，从而获得永久远程访问权限。如下图：

1. 1. 凭证窃取（Credential Theft, CT）：盗取 API 密钥等敏感信息。在 Slack 集成的测试案例中，攻击者成功让 AI 模型搜索并泄露了 OpenAI 和 Hugging Face 的 API 密钥，这些敏感信息被自动发布到公司内部 Slack 频道。

这些安全漏洞的严重性在于，它们不需要攻击者具备高超的技术能力，只需通过精心设计的自然语言提示就能实现系统入侵。随着 MCP 协议在 AI 生态中的普及，这种安全隐患可能影响数百万用户。

1.3 新型 RADE 攻击链

研究首次披露的检索智能体欺骗攻击(Retrieval-Agent Deception Attack, RADE)展现了更高级的威胁形态。

这种攻击通过污染公开数据实现"隔山打牛"，具体分为三个阶段：

• • 首先攻击者将恶意指令伪装成技术文档（如以 MCP 为主题）
• • 然后用户将这些数据存入 Chroma 等向量数据库
• • 最后当 LLM 检索相关主题时自动执行隐藏指令。

在概念验证中，被污染的 MCP 文档成功诱导 Claude 完成两个危险操作：

• • 先是导出 Hugging Face 凭证到公开 Slack 频道
• • 接着在系统 authorized_keys 文件添加攻击者的 SSH 密钥。

这种攻击的威胁等级比直接提示攻击(Direct Prompt Attack)高 3 个数量级，因为攻击者无需直接接触目标系统，仅需污染可能被爬取的公开数据源。

2. 如何解决？

---

2.1 McpSafetyScanner MCP安全扫描器

为了解决以上MCP安全问题，作者团队提出了McpSafetyScanner。McpSafetyScanner是一个多智能体框架，采用三重智能体防护机制，其工作原理类似于网络安全领域的"红蓝对抗"演练。该系统包含三个核心组件：

• • 1.黑客智能体(Hacker Agent)：模拟攻击者思维模式，主动探测系统漏洞。该代理会分析 MCP 服务器的工具集（如文件系统访问权限），自动生成潜在攻击向量。例如在测试中，它成功发现了通过 bash 配置文件植入后门的攻击路径。
• • 2.安全审计智能体(Security Auditor Agent)：从 arXiv 学术论文库、黑客新闻(Hacker News)等技术社区抓取已知漏洞模式。当检测到文件系统工具时，会自动匹配历史漏洞数据库中的相关案例，如 CVE-2023-1234 等文件权限提升漏洞。
• • 3.监督智能体(Supervisor Agent)：整合前两个智能体的发现，生成包含具体修复方案的安全报告。报告会详细说明漏洞原理（如通过 SSH 密钥注入实现远程控制），并提供修复建议（如设置文件访问权限为 600）。

测试数据显示，该系统在 M2 Max 芯片的 MacBook Pro 上运行，能在 1 分钟内完成全量扫描，准确识别出全部三类攻击路径（恶意代码执行、远程控制、凭证窃取）。

该项目目前已开源：https://github.com/johnhalloran321/mcpSafetyScanner

2.2 使用

2.2.1 安装

  
git clone https://github.com/johnhalloran321/mcpSafetyScanner  
cd mcpSafetyScannerpython -m pip install -e .

2.2.2 使用

  
export OPENAI\_API\_KEY="YOUR\_API\_KEY"python3 mcpsafety/scanner/scan.py --config examples/example\_config.json

---

• • 论文原文: https://arxiv.org/abs/2504.03767
• • 获取更多最新 Arxiv 论文更新: https://github.com/HuggingAGI/HuggingArxiv!
• • 加入社群，+v: iamxxn886
• • 点击公众号菜单加入讨论