全面 MCP 安全清單：守護(hù) AI 驅(qū)動(dòng)型基礎(chǔ)設(shè)施安全

當(dāng)前，各行業(yè)組織紛紛加速布局 AI 驅(qū)動(dòng)型基礎(chǔ)設(shè)施，全力打造 “AI 為先” 的運(yùn)營(yíng)模式。然而，安全防護(hù)建設(shè)卻明顯滯后，成為一大短板。基于大型語(yǔ)言模型（LLMs）和多組件協(xié)議（MCP）構(gòu)建的多智能體系統(tǒng)，雖在效率提升、業(yè)務(wù)拓展上潛力巨大，但也催生了傳統(tǒng)安全工具無(wú)法應(yīng)對(duì)的新型漏洞，給 AI 環(huán)境安全帶來(lái)嚴(yán)峻挑戰(zhàn)。

為解決這一痛點(diǎn)，網(wǎng)絡(luò)安全領(lǐng)域企業(yè) Wallarm 密切關(guān)注新興攻擊面的防護(hù)指南，尤其參考了近期發(fā)布的《OWASP 多智能體系統(tǒng)威脅建模指南 v1.0》，結(jié)合實(shí)際應(yīng)用場(chǎng)景，編制出一份實(shí)用的 MCP 安全清單。

這份清單精準(zhǔn)聚焦多智能體系統(tǒng)中的11 類核心安全風(fēng)險(xiǎn)，不僅清晰剖析了各類風(fēng)險(xiǎn)的危害，還給出了針對(duì)性的防御方案。比如，針對(duì) “意外的遠(yuǎn)程代碼執(zhí)行與代碼攻擊”，提出權(quán)限限制、環(huán)境隔離、執(zhí)行控制等多維度防護(hù)手段；面對(duì) “模型不穩(wěn)定導(dǎo)致 MCP 請(qǐng)求不一致” 問(wèn)題，從調(diào)用限制、速率管控、提示優(yōu)化三方面制定應(yīng)對(duì)策略。此外，清單還涵蓋工具濫用、客戶端仿冒、通信不安全、資源過(guò)載、服務(wù)賬戶信息泄露、日志操縱、權(quán)限泄露、服務(wù)器權(quán)限隔離不足、生態(tài)系統(tǒng)中惡意服務(wù)器等風(fēng)險(xiǎn)，對(duì)應(yīng)的防御措施涉及驗(yàn)證監(jiān)控、身份管理、加密通信、資源管控、敏感信息保護(hù)等多個(gè)層面。

有了這份 MCP 安全清單，各組織在推進(jìn) AI 基礎(chǔ)設(shè)施建設(shè)時(shí)，能更精準(zhǔn)地識(shí)別安全隱患、部署防護(hù)措施，從而有效守護(hù)原生 AI 環(huán)境安全，打造兼具靈活性與安全性的 AI 驅(qū)動(dòng)型基礎(chǔ)設(shè)施。

1. T11—— 意外的遠(yuǎn)程代碼執(zhí)行與代碼攻擊

在原生 AI 系統(tǒng)中，智能體并非僅對(duì)查詢做出響應(yīng)，它們還會(huì)生成并執(zhí)行代碼。這為隱蔽而危險(xiǎn)的提示注入攻擊打開(kāi)了方便之門。若攻擊者在提示中注入操作系統(tǒng)命令等惡意指令，大型語(yǔ)言模型可能在不知情的情況下嵌入并執(zhí)行這些指令，造成嚴(yán)重安全威脅。緩解措施可從多維度實(shí)施：

• 權(quán)限限制：僅在絕對(duì)必要時(shí)允許代碼生成；應(yīng)用最小權(quán)限原則，僅授予完成任務(wù)所需的最低權(quán)限；限制對(duì)文件系統(tǒng)和網(wǎng)絡(luò)等系統(tǒng)資源的訪問(wèn)。

• 環(huán)境隔離：對(duì)執(zhí)行環(huán)境進(jìn)行沙箱隔離，防止主機(jī)級(jí)別的安全危害。

• 執(zhí)行控制：實(shí)施執(zhí)行控制策略，對(duì)具有提升權(quán)限的 AI 生成代碼進(jìn)行標(biāo)記并暫停執(zhí)行，等待人工審核；限制 CPU、內(nèi)存和執(zhí)行時(shí)間，使其與任務(wù)范圍相匹配；使用允許列表而非阻止列表來(lái)明確規(guī)定允許的操作；在智能體代碼和工具中始終遵循安全編碼規(guī)范。

2. T26—— 模型不穩(wěn)定導(dǎo)致 MCP 請(qǐng)求不一致

模型不穩(wěn)定易引發(fā) MCP 客戶端向 MCP 服務(wù)器發(fā)送不一致或異常請(qǐng)求，干擾系統(tǒng)正常操作。例如，模型執(zhí)行構(gòu)建 SQL 查詢等任務(wù)出錯(cuò)時(shí)，可能反復(fù)重試錯(cuò)誤指令，給后端帶來(lái)過(guò)多流量，進(jìn)而演變?yōu)榫芙^服務(wù)問(wèn)題。由于模型難以及時(shí)察覺(jué)自身錯(cuò)誤，基礎(chǔ)設(shè)施需具備錯(cuò)誤識(shí)別能力，具體防范措施如下：

• 調(diào)用限制：按會(huì)話或任務(wù)對(duì)工具調(diào)用的頻率和數(shù)量加以限制。

• 速率管控：根據(jù)網(wǎng)絡(luò)狀況和智能體活動(dòng)實(shí)施自適應(yīng)速率限制。

• 提示優(yōu)化：構(gòu)建具有明確格式和邏輯步驟的提示；使用思維鏈（CoT）提示法（一種引導(dǎo)模型進(jìn)行逐步推理的方法），減少因跳躍式推理導(dǎo)致的不一致性。

3. T2—— 通過(guò) MCP 實(shí)現(xiàn)的工具濫用

在 MCP 環(huán)境中運(yùn)行的智能體能夠訪問(wèn)工具 API 執(zhí)行計(jì)算、轉(zhuǎn)換或業(yè)務(wù)操作。但若缺乏適當(dāng)驗(yàn)證，智能體可能被誘騙使用錯(cuò)誤工具執(zhí)行任務(wù)，改變輸出結(jié)果或破壞信任。為緩解這一風(fēng)險(xiǎn)，可從多個(gè)層面著手：

• 驗(yàn)證與監(jiān)控層面：實(shí)施嚴(yán)格的工具訪問(wèn)驗(yàn)證，對(duì)每次調(diào)用進(jìn)行驗(yàn)證；監(jiān)控工具使用模式，及時(shí)發(fā)現(xiàn)異常情況。

• 權(quán)限與范圍層面：為不同工具配置不同權(quán)限集；限制每個(gè)工具的訪問(wèn)范圍，使其僅能獲取所需資源。

• 隔離與安全層面：在隔離環(huán)境中運(yùn)行工具，防止交叉影響；驗(yàn)證輸入，限制函數(shù)范圍，阻止危險(xiǎn)操作。

• 管理與規(guī)范層面：防止命名沖突和未授權(quán)的工具間訪問(wèn)；對(duì)工具調(diào)用的頻率和數(shù)量加以限制；在文檔中包含必要的類型、計(jì)量單位和運(yùn)行時(shí)驗(yàn)證要求，確保工具正確使用。

4. T40——MCP 客戶端仿冒：身份管理問(wèn)題

在分布式智能體生態(tài)系統(tǒng)中，身份至關(guān)重要。若惡意攻擊者獲取有效憑據(jù)，或系統(tǒng)未能正確驗(yàn)證智能體身份，他們可能訪問(wèn)特權(quán)工具或數(shù)據(jù)。為防范這一風(fēng)險(xiǎn)，需構(gòu)建完善的身份管理體系：

• 開(kāi)發(fā)強(qiáng)大的身份驗(yàn)證框架，確保身份不與單一憑據(jù)相關(guān)聯(lián)。

• 使用行為分析檢測(cè)智能體活動(dòng)中的異常情況。

• 實(shí)施可隨時(shí)間調(diào)整且能抵御操縱的智能體信譽(yù)系統(tǒng)。

• 強(qiáng)制使用公鑰基礎(chǔ)設(shè)施（PKI），智能體必須通過(guò)由可信證書(shū)頒發(fā)機(jī)構(gòu)（CA）頒發(fā)的數(shù)字證書(shū)進(jìn)行身份驗(yàn)證，PKI 通過(guò)證書(shū)鏈驗(yàn)證機(jī)制有效確保證書(shū)的真實(shí)性和完整性。

• 驗(yàn)證私鑰所有權(quán)，以確認(rèn)智能體身份。

• 使用具有智能體間身份驗(yàn)證功能的安全通信協(xié)議。

• 實(shí)施沙箱隔離和政策執(zhí)行措施，限制已被入侵智能體的影響范圍。

5. T30——MCP 實(shí)施中的通信不安全問(wèn)題

若 JSON-RPC 和 SSE 等通信協(xié)議實(shí)施不當(dāng)，攻擊者可能攔截、修改或注入傳輸中的數(shù)據(jù)。例如，MCP 客戶端與服務(wù)器間的請(qǐng)求和響應(yīng)通過(guò)未加密的 HTTP 發(fā)送時(shí)，攻擊者可能篡改響應(yīng)，導(dǎo)致大型語(yǔ)言模型輸出無(wú)效結(jié)果。緩解這一風(fēng)險(xiǎn)需強(qiáng)化通信安全：

• 使用 HTTPS 和雙向 TLS（mTLS）等安全通信協(xié)議。

• 驗(yàn)證證書(shū)屬性和頒發(fā)機(jī)構(gòu)，防止中間人攻擊。

• 對(duì)所有與 MCP 相關(guān)的通信強(qiáng)制實(shí)施加密和身份驗(yàn)證。

• 持續(xù)監(jiān)控流量，警惕異常模式、有效負(fù)載篡改或注入嘗試。

6. T4—— 資源過(guò)載風(fēng)險(xiǎn)

攻擊者可能通過(guò)大量 CPU、內(nèi)存或服務(wù)請(qǐng)求使 AI 系統(tǒng)過(guò)載，降低系統(tǒng)性能或?qū)е戮芙^服務(wù)。例如，惡意攻擊者可能觸發(fā) 100 次大型文件讀取操作，或發(fā)送 PostgreSQL 的 pg_sleep (600) 睡眠命令凍結(jié)數(shù)據(jù)庫(kù)操作。可通過(guò)以下方式緩解風(fēng)險(xiǎn)：

• 部署資源管理控制措施，合理分配 CPU、內(nèi)存和 I/O 預(yù)算。

• 結(jié)合實(shí)時(shí)監(jiān)控實(shí)施自適應(yīng)擴(kuò)展。

• 按智能體會(huì)話實(shí)施 AI 速率限制政策。

• 對(duì)提示大小、任務(wù)持續(xù)時(shí)間和重試次數(shù)設(shè)置嚴(yán)格配額。

7. T21—— 服務(wù)賬戶信息泄露隱患

MCP 服務(wù)賬戶配置不當(dāng)可能導(dǎo)致憑據(jù)通過(guò)工具、日志或文件訪問(wèn)泄露。例如，連接到讀取環(huán)境變量工具的大型語(yǔ)言模型可能無(wú)意中泄露 AWS 憑據(jù)。防范措施包括：

• 自動(dòng)對(duì)個(gè)人身份信息（PII）和憑據(jù)進(jìn)行脫敏處理，尤其是從日志或智能體輸出中自動(dòng)檢測(cè)并隱藏密鑰、令牌等敏感信息。

• 按角色和上下文使用細(xì)粒度的訪問(wèn)控制。

• 定期輪換憑據(jù)，縮短可能被入侵的時(shí)間窗口。

• 設(shè)置防護(hù)措施，防止憑據(jù)共享或意外泄露。

• 對(duì)所有訪問(wèn)令牌和 API 應(yīng)用最小權(quán)限原則。

8. T22—— 選擇性日志操縱問(wèn)題

攻擊者可能操縱日志行為，隱藏惡意活動(dòng)或用無(wú)用事件淹沒(méi)系統(tǒng)。例如，他們可能將日志級(jí)別更改為 DEBUG 或 TRACE 以隱藏攻擊，用無(wú)用事件使日志系統(tǒng)過(guò)載，或通過(guò)配置操縱禁用日志功能。緩解策略如下：

• 實(shí)施日志的加密驗(yàn)證，確保日志完整性。

• 使用具有嚴(yán)格訪問(wèn)控制的不可變?nèi)罩敬鎯?chǔ)，防止日志被篡改或刪除。

• 通過(guò)元數(shù)據(jù)豐富日志內(nèi)容，提高可見(jiàn)性。

• 部署異常檢測(cè)系統(tǒng)，充分考慮 AI 智能體的非確定性行為。

9. T3—— 權(quán)限泄露風(fēng)險(xiǎn)

攻擊者可能通過(guò)配置錯(cuò)誤、提示注入或訪問(wèn)邏輯操縱來(lái)提升權(quán)限。例如，某個(gè)提示可能說(shuō)服大型語(yǔ)言模型向攻擊者授予管理員權(quán)限，或惡意用戶可能將管理員組權(quán)限惡意降級(jí)至普通用戶訪問(wèn)級(jí)別。為緩解這一風(fēng)險(xiǎn)：

• 在所有層級(jí)實(shí)施細(xì)粒度訪問(wèn)控制。

• 動(dòng)態(tài)驗(yàn)證角色變更，并記錄所有權(quán)限提升操作。

• 除非預(yù)先獲得批準(zhǔn)，否則阻止智能體之間的權(quán)限委托。

• 對(duì)高風(fēng)險(xiǎn)操作實(shí)施人工驗(yàn)證。

• 使用分層防御措施防止提示注入和權(quán)限濫用。

10. T45——MCP 服務(wù)器權(quán)限隔離不足：身份管理問(wèn)題

如果 MCP 服務(wù)器對(duì)主機(jī)資源或網(wǎng)絡(luò)擁有過(guò)多訪問(wèn)權(quán)限，安全入侵可能在系統(tǒng)間蔓延。例如，MCP 服務(wù)器上某個(gè)易受攻擊的工具允許路徑遍歷（一種常見(jiàn) Web 漏洞，攻擊者可通過(guò)構(gòu)造特殊路徑訪問(wèn)未授權(quán)文件），可能泄露其他服務(wù)或 MCP 環(huán)境的機(jī)密信息。防止此類情況需做好權(quán)限隔離：

• 在服務(wù)器級(jí)別應(yīng)用最小權(quán)限原則。

• 通過(guò)沙箱隔離和資源邊界隔離智能體和工具。

• 實(shí)施運(yùn)行時(shí)監(jiān)控和嚴(yán)格的訪問(wèn)執(zhí)行措施，防止權(quán)限提升或橫向移動(dòng)。

11. T47—— 生態(tài)系統(tǒng)中的惡意 MCP 服務(wù)器：智能體身份管理問(wèn)題

攻擊者可能部署惡意 MCP 服務(wù)器偽裝成合法服務(wù)器，連接到該惡意服務(wù)器的智能體隨后會(huì)被入侵。這是針對(duì) MCP 信任模型的生態(tài)系統(tǒng)級(jí)攻擊。緩解這一風(fēng)險(xiǎn)需強(qiáng)化身份驗(yàn)證與信任機(jī)制：

• 使用去中心化標(biāo)識(shí)符（DIDs）在服務(wù)間進(jìn)行身份驗(yàn)證，DIDs 是一種去中心化的身份標(biāo)識(shí)方式，不依賴中心化機(jī)構(gòu)即可實(shí)現(xiàn)身份驗(yàn)證。

• 應(yīng)用雙向 TLS 和 DID 簽名消息等安全身份驗(yàn)證協(xié)議。

• 通過(guò)帶時(shí)間戳的憑據(jù)驗(yàn)證防止重放攻擊。

• 維護(hù)可適應(yīng)動(dòng)態(tài)智能體屬性的可信智能體注冊(cè)表。

結(jié)語(yǔ)

如果沒(méi)有強(qiáng)大的安全模型，MCP 和多智能體系統(tǒng)的靈活性就會(huì)變得脆弱不堪。通過(guò)遵循 OWASP 的威脅建模指南和上述建議，各組織能夠打造出既安全又智能的 AI 基礎(chǔ)設(shè)施。

https://securityboulevard.com/2025/08/comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure/?utm_source=rss&utm_medium=rss&utm_campaign=comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure）

合作電話：18311333376

合作微信：aqniu001