本文深入探讨了大模型MCP（模型组合）的安全风险，将其类比为传统的终端安全问题，核心在于“投毒”攻击。文章分析了恶意MCP的投毒手段，包括伪造MCP和恶意提示词，并提出了相应的安全防护措施，如加强MCP市场审核、用户端授权机制以及引入第三方MCP检查工具。最后强调了对MCP供应源头的管控和终端调用的防护，以保护用户免受潜在风险。

🍎MCP的风险本质：MCP的风险类似于传统终端安全，攻击者通过恶意MCP或提示词进行“投毒”，诱导大模型执行非法操作，如同用户终端电脑中毒。

💡投毒手段：攻击者通过伪造恶意MCP或构造恶意提示词，使大模型执行未授权操作，达到控制用户端大模型的目的。

🛡️安全防护策略：包括加强MCP市场发布审核，避免恶意MCP上架；在Client端实现用户授权机制，增强安全意识；引入第三方MCP检查工具，进行本地MCP扫描，类似于PC上的杀毒软件。

📢防护重点：MCP安全防护的重点在于管控MCP供应源头和终端调用，以保护用户免受钓鱼式攻击的侵害。

写在前面

之前写了几篇大模型MCP相关的文章，了解了原理、实现以及安全问题。本篇文章做一些个人对于MCP安全的认知总结。

MCP风险剖析

传统的用户终端安全（计算机本身的安全）中，常见的攻击场景就是用户下载了奇奇怪怪的恶意程序并且运行了，然后导致电脑中毒、被远控、敏感信息被窃取等各种危害。

然后我们回到这张MCP的架构图

MCP的使用过程需要具备Client端和Server端，参考终端安全，Client就好比用户的终端电脑，而Server端就好比你在下载的各种软件，于是就发现换汤不换药，MCP的风险本质上不过是另一种终端安全，甚至攻击手法都是高度的类似——恶意MCP进行投毒。

MCP投毒

经过几篇文章的学习，可以发现，尽管攻击手法不同，但是都有一个共同的特点，就是需要攻击者去伪造一个恶意的MCP，或者构造一个恶意的提示词来让Client本地的大模型执行一些未授权的非法操作，这本质上就是典型的投毒。

其最终达到的目的都是为了让用户Client端的大模型去执行一些非法的操作，只不过达到这个目的手段可能是：

通过伪造恶意MCP让大模型调用通过间接输入恶意提示词来让大模型听话执行

安全防护

其实从安全风险上来看，其利用手段、危害与供应链投毒、网络钓鱼高度类似，没有一个很好的源头阻断的方式，但是会有一些意识上的防护手段。

Server端

需加强MCP市场的发布审核，避免恶意MCP上架（不过仍然会存在一些个人MCP流通的场景，不走正规发布）

Client端：

现在成熟的MCP Client类工具的每一次调用MCP都会让用户知道这个行为，并且让用户授权进行操作，做出了一定对的防投毒的策略；不过一些个人实现的Client要注意这个风险，有这方面的意识引入第三方MCP检查工具，对本地引入的MCP工具进行扫描，就类似于PC上的杀毒软件

最后，其实从危害上来说，MCP的安全风险相对来说不会跟Web安全一样直接对企业发起攻击，更多的是像钓鱼一样对用户本身的攻击，所以最好的防护方式就是对MCP供应源头管控，以及对终端调用进行防护。

往期文章

最近都在传的大模型MCP到底是个啥

手把手学习写一个MCP服务，获取热榜文章

学习一下MCP工具投毒攻击

再学学MCP间接提示词注入

两个一样的MCP，大模型会怎么选择