关键数据
Suzu Labs 发布了一份针对 AI 开发者工具安全生态的深度调查报告,核心数据令人担忧:
| 指标 | 数据 |
|---|---|
| npm 上 MCP 相关包总数 | 973 个 |
| 单一维护者比例 | 71% |
| 过去 30 天内首次发布 | 56% |
| 无源码仓库 | 25% |
| 被 MCP 注册中心漏检的恶意上传 | 9/11(82%) |
| GitHub 上 MCP 配置文件中的密钥 | 24,008 个 |
| 其中确认活跃的密钥 | 2,117 个 |
| 提示注入相关 CVE | 133 个(78% 严重或高危) |
MCP 生态的供应链现状
MCP(Model Context Protocol)已经成为 AI Agent 调用外部工具和数据的标准协议。越来越多的 Agent 框架和平台通过 MCP 来连接工具、数据库和 API。
然而,MCP 包生态的供应链安全状况让人不安:
71% 单一维护者意味着:任何一个维护者被社会工程攻击、弃维护或账号被攻陷,都可能影响整个依赖链。在 npm 生态中,这种”微包依赖”模式曾导致过多起严重供应链攻击事件(如 event-stream、ua-parser-js)。
56% 过去 30 天发布说明:MCP 包的增速极快,但安全审查速度远跟不上发布速度。大部分包没有经过充分的安全审计就被大量使用。
25% 无源码仓库意味着:近四分之一的 MCP 包甚至连基本的代码透明性都没有——你安装的代码和声称的代码可能完全不同。
更广泛的 AI 编码安全问题
报告还覆盖了 AI 编码工具的其他安全面:
AI 生成代码的质量问题
| 模型 | 含可证明漏洞的代码比例 |
|---|---|
| GPT-4o | 62.4%(最差) |
| Gemini 2.5 Flash | 48.4%(最好) |
| 所有模型平均 | 均未达到 D 级安全水平 |
AI 编码工具 CVE 的增长
| 年份 | CVE 数量 |
|---|---|
| 2023 | 3 |
| 2024 | 增长中 |
| 2025 | 51 |
案例包括:GitHub Copilot(CVE-2025-53773)、Cursor IDE(CVE-2026-22708)。
真实攻击案例
2026 年 3 月,朝鲜 UNC1069 组织通过伪装成 axios 的 npm 包部署 WAVESHAPER.V2 后门,专门窃取 MCP 配置文件中的凭证。这不是假设性风险——这是已经发生的攻击。
AI 安全工具的采用严重不足
报告中一个令人警醒的对比数据:
npm 上 AI 安全工具下载量 : AI 编码工具下载量 = 1 : 28 PyPI 上 AI 安全工具下载量 : AI 编码工具下载量 = 1 : 10
开发者在疯狂采用 AI 编码工具来提升效率,但采用 AI 安全工具的意愿远低于这个速度。安全实践严重落后于工具采用率。
给开发者和企业的建议
- 运行 SAST(静态应用安全测试) 对 AI 生成的代码进行安全检查
- 使用环境变量引用 API Key,而非明文存储在配置文件中
- 限制 AI Agent 的权限 — Agent 不需要读写整个文件系统
- 监控 IDE 进程的出站流量 — 异常出站请求是攻击的早期信号
- 使用
.cursorignore/.claude/settings.json限制 AI 编码工具的上下文访问范围 - 在安装 MCP 包前,检查维护者背景、源码仓库、发布时间和下载量
参考资料
- Suzu Labs — 973 MCP Packages, 71% Single-Maintainer: A Practitioner’s Guide to AI Developer Security(2026-06-17)
- Veracode AI 生成代码安全分析报告
- UNC1069 WAVESHAPER.V2 攻击分析
- AI 编码工具 CVE 追踪数据库
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/mcp-packages-single-maintainer-supply-chain.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)