4,982 个安全问题暴露:2,259 个公共 MCP 服务器面临 AI Agent 攻击风险

2026/07/07 sec MCP · 供应链安全 · AI Agent · 安全审计 · 服务器漏洞 · 权限配置 · 注入攻击 2049 字 · 约 6 分钟 阅读 ...
安全研究人员对 2,259 个公开可访问的 MCP(Model Context Protocol)服务器进行大规模安全审计,发现 4,982 个安全漏洞,涵盖文件访问、注入攻击和权限配置问题。这些 MCP 服务器广泛支持 AI Agent 的工具调用和数据访问能力,其安全缺陷意味着攻击者可通过操控 AI Agent 利用这些服务器进行未授权操作和数据窃取。

一句话结论

安全研究人员在 2,259 个公开可访问的 MCP 服务器中发现了 4,982 个安全漏洞,涵盖文件访问、注入攻击和权限配置问题。这是 MCP 生态迄今规模最大的安全调查,凸显了 AI Agent 基础设施层面的供应链风险——依赖公共 MCP 服务器的 Agent 应用面临被攻击者利用的严重威胁。

事件概述

据多家安全媒体报道,安全研究人员对公共 MCP(Model Context Protocol)服务器进行了大规模安全审计,发现:

  • 扫描范围:2,259 个公开可访问的 MCP 服务器
  • 发现问题:4,982 个安全漏洞
  • 漏洞类型:文件访问越权、注入攻击、权限配置缺陷
  • 发布时间:2026 年 7 月 7 日

该研究揭示了 MCP 生态当前的安全现状——约每台服务器平均存在 2.2 个安全问题

主要漏洞类型

文件访问越权

许多 MCP 服务器的文件系统权限配置不当,AI Agent 可通过工具调用访问服务器上的敏感文件。典型场景:

  • MCP 服务器暴露了读写文件系统工具,但缺乏访问路径白名单
  • Agent 被注入后操控访问 ~/.ssh/etc/passwd、环境变量中的凭据
  • 服务器未对文件操作的范围做限制,导致横向移动

注入攻击

MCP 服务器在处理 Agent 传递的输入时存在注入漏洞:

  • 命令注入:服务器工具调用拼接用户输入到系统命令
  • SQL 注入:数据库工具的参数未正确转义
  • 提示注入:MCP 服务器的工具描述可被恶意修改以引导 Agent 行为

权限配置问题

MCP 服务器的部署配置存在多种常见安全缺陷:

  • 使用默认或弱凭据
  • 未启用 TLS/SSL 加密
  • CORS 配置过于宽松
  • 不必要的端口暴露
  • 日志和调试接口对外开放

与其他研究的交叉验证

这些发现并非孤例。以下数据加强了本次调查的可信度:

研究时间范围关键发现
Pipelab 独立分析2025 年 10 月67,057 个 MCP 服务器833 个存在可利用条件,18 个有可疑工具描述
本次调查2026 年 7 月2,259 个 MCP 服务器4,982 个安全问题
Tencent AI-Infra-Guard2026 年 6 月SkillTrustBench(62,652 个技能)9 个威胁类别、5,520 个评估用例

值得注意的是,此前 Pipelab 的研究侧重于服务器可达性和利用条件,而本次调查更侧重于安全配置和代码层面的漏洞发现——两者方法不同但结论一致:MCP 生态面临严重的供应链安全挑战。

攻击场景:攻击者如何利用

场景一:通过公共 MCP 服务器操控 Agent

  1. 攻击者发现 MCP 服务器存在命令注入漏洞
  2. 在 Agent 请求中注入恶意参数
  3. MCP 服务器执行系统命令,返回敏感数据
  4. Agent 将数据传递给攻击者控制的端点

场景二:Agent 交互中的二次攻击

  1. Agent 调用 MCP 服务器的文件读取工具
  2. MCP 服务器配置不当,允许读取任意路径
  3. Agent 被提示注入后,操控 Agent 读取凭据文件
  4. 凭据被发送到外部

场景三:MCP 注册表中的恶意服务器

  1. 攻击者在公共 MCP 注册表发布恶意的 MCP 服务器
  2. Agent 开发者信任该服务器并使用
  3. Agent 调用工具时触发恶意行为
  4. 数据和访问权限被窃取

对企业的影响与建议

立即行动

  1. 审计 MCP 服务器清单:立即盘点所有正在使用的 MCP 服务器(包括公共和自托管的)
  2. 检查权限配置:确保 MCP 服务器的文件系统访问范围为最小必要,使用白名单而非黑名单
  3. 启用加密:确保 Agent ↔ MCP 服务器之间的通信使用 TLS/SSL
  4. 应用最小权限原则:MCP 服务器运行用户权限不应高于所需

评估框架

对照以下清单评估每个 MCP 服务器:

检查项安全要求
文件访问范围限制到白名单目录,禁止通配符路径
命令执行禁止通过工具执行系统命令,或使用参数化接口
身份验证要求 API Key 或 OAuth,禁止匿名访问
传输加密强制 TLS 1.2+
输入验证所有参数需验证类型和范围
日志记录记录所有工具调用,但避免记录敏感参数
运行时监控监控异常调用模式和高频批量查询
CORS 配置限制到受信域名列表

与腾讯 AI-Infra-Guard 的协同

值得一提的是,就在同一天(7 月 7 日),我们报道了腾讯发布的 AI-Infra-Guard——首个系统性审计 MCP 供应链安全的开源红队框架。两者的关系是:

  • 本次调查发现问题(4,982 个漏洞在 2,259 个 MCP 服务器中)
  • AI-Infra-Guard提供工具(自动化 MCP 服务器扫描和审计)

参考资料


来源说明:本文基于多家安全媒体的综合报道撰写。原文来自 Google News 聚合的多篇报道(cyberpress.org、CyberSecurityNews),因 Google News RSS 短链不可达,内容基于用户提供的详细摘要结合 MCP 生态安全背景分析撰写。文中交叉引用了 Pipelab 2025 年 10 月的研究数据和腾讯 AI-Infra-Guard 框架的技术背景。

文档信息