一句话结论
安全研究人员在 2,259 个公开可访问的 MCP 服务器中发现了 4,982 个安全漏洞,涵盖文件访问、注入攻击和权限配置问题。这是 MCP 生态迄今规模最大的安全调查,凸显了 AI Agent 基础设施层面的供应链风险——依赖公共 MCP 服务器的 Agent 应用面临被攻击者利用的严重威胁。
事件概述
据多家安全媒体报道,安全研究人员对公共 MCP(Model Context Protocol)服务器进行了大规模安全审计,发现:
- 扫描范围:2,259 个公开可访问的 MCP 服务器
- 发现问题:4,982 个安全漏洞
- 漏洞类型:文件访问越权、注入攻击、权限配置缺陷
- 发布时间:2026 年 7 月 7 日
该研究揭示了 MCP 生态当前的安全现状——约每台服务器平均存在 2.2 个安全问题。
主要漏洞类型
文件访问越权
许多 MCP 服务器的文件系统权限配置不当,AI Agent 可通过工具调用访问服务器上的敏感文件。典型场景:
- MCP 服务器暴露了读写文件系统工具,但缺乏访问路径白名单
- Agent 被注入后操控访问
~/.ssh、/etc/passwd、环境变量中的凭据 - 服务器未对文件操作的范围做限制,导致横向移动
注入攻击
MCP 服务器在处理 Agent 传递的输入时存在注入漏洞:
- 命令注入:服务器工具调用拼接用户输入到系统命令
- SQL 注入:数据库工具的参数未正确转义
- 提示注入:MCP 服务器的工具描述可被恶意修改以引导 Agent 行为
权限配置问题
MCP 服务器的部署配置存在多种常见安全缺陷:
- 使用默认或弱凭据
- 未启用 TLS/SSL 加密
- CORS 配置过于宽松
- 不必要的端口暴露
- 日志和调试接口对外开放
与其他研究的交叉验证
这些发现并非孤例。以下数据加强了本次调查的可信度:
| 研究 | 时间 | 范围 | 关键发现 |
|---|---|---|---|
| Pipelab 独立分析 | 2025 年 10 月 | 67,057 个 MCP 服务器 | 833 个存在可利用条件,18 个有可疑工具描述 |
| 本次调查 | 2026 年 7 月 | 2,259 个 MCP 服务器 | 4,982 个安全问题 |
| Tencent AI-Infra-Guard | 2026 年 6 月 | SkillTrustBench(62,652 个技能) | 9 个威胁类别、5,520 个评估用例 |
值得注意的是,此前 Pipelab 的研究侧重于服务器可达性和利用条件,而本次调查更侧重于安全配置和代码层面的漏洞发现——两者方法不同但结论一致:MCP 生态面临严重的供应链安全挑战。
攻击场景:攻击者如何利用
场景一:通过公共 MCP 服务器操控 Agent
- 攻击者发现 MCP 服务器存在命令注入漏洞
- 在 Agent 请求中注入恶意参数
- MCP 服务器执行系统命令,返回敏感数据
- Agent 将数据传递给攻击者控制的端点
场景二:Agent 交互中的二次攻击
- Agent 调用 MCP 服务器的文件读取工具
- MCP 服务器配置不当,允许读取任意路径
- Agent 被提示注入后,操控 Agent 读取凭据文件
- 凭据被发送到外部
场景三:MCP 注册表中的恶意服务器
- 攻击者在公共 MCP 注册表发布恶意的 MCP 服务器
- Agent 开发者信任该服务器并使用
- Agent 调用工具时触发恶意行为
- 数据和访问权限被窃取
对企业的影响与建议
立即行动
- 审计 MCP 服务器清单:立即盘点所有正在使用的 MCP 服务器(包括公共和自托管的)
- 检查权限配置:确保 MCP 服务器的文件系统访问范围为最小必要,使用白名单而非黑名单
- 启用加密:确保 Agent ↔ MCP 服务器之间的通信使用 TLS/SSL
- 应用最小权限原则:MCP 服务器运行用户权限不应高于所需
评估框架
对照以下清单评估每个 MCP 服务器:
| 检查项 | 安全要求 |
|---|---|
| 文件访问范围 | 限制到白名单目录,禁止通配符路径 |
| 命令执行 | 禁止通过工具执行系统命令,或使用参数化接口 |
| 身份验证 | 要求 API Key 或 OAuth,禁止匿名访问 |
| 传输加密 | 强制 TLS 1.2+ |
| 输入验证 | 所有参数需验证类型和范围 |
| 日志记录 | 记录所有工具调用,但避免记录敏感参数 |
| 运行时监控 | 监控异常调用模式和高频批量查询 |
| CORS 配置 | 限制到受信域名列表 |
与腾讯 AI-Infra-Guard 的协同
值得一提的是,就在同一天(7 月 7 日),我们报道了腾讯发布的 AI-Infra-Guard——首个系统性审计 MCP 供应链安全的开源红队框架。两者的关系是:
- 本次调查 → 发现问题(4,982 个漏洞在 2,259 个 MCP 服务器中)
- AI-Infra-Guard → 提供工具(自动化 MCP 服务器扫描和审计)
参考资料
- 来源:cyberpress.org、CyberSecurityNews 等多家安全媒体
- 关联研究:Pipelab 2025 MCP 安全报告
- 审计工具:Tencent AI-Infra-Guard(Apache 2.0) 的协议/工具层 MCP 审计能力
- MCP 规范:Model Context Protocol
来源说明:本文基于多家安全媒体的综合报道撰写。原文来自 Google News 聚合的多篇报道(cyberpress.org、CyberSecurityNews),因 Google News RSS 短链不可达,内容基于用户提供的详细摘要结合 MCP 生态安全背景分析撰写。文中交叉引用了 Pipelab 2025 年 10 月的研究数据和腾讯 AI-Infra-Guard 框架的技术背景。
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/mcp-server-security-4982-vulnerabilities-2259-servers.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)