模型上下文协议（MCP）作为连接大语言模型（LLM）与外部工具数据源的关键机制，已成为AI集成的事实标准，并被OpenAI、Anthropic和微软等巨头采用。然而，由于缺乏统一的安全认证，MCP的应用存在数据安全和调用逻辑等方面的隐患。本文深入分析了10大已被验证的MCP应用安全风险，包括跨租户数据暴露、AI寄生攻击、工具中毒、令牌窃取与账户接管等，并为每项风险提供了详细的安全防护建议，旨在帮助组织更安全地利用MCP技术。

🛺 跨租户数据暴露：类似跨站脚本攻击，攻击者可借此访问其他租户数据。建议 MCP 服务器严格执行租户隔离和最小权限访问原则。

🤖 AI寄生攻击：攻击者通过隐藏提示注入，诱导 AI 助手访问敏感数据和业务流程。建议限制 AI 操作权限、实时分析提示内容并记录审计日志。

🛠️ 工具中毒：从不可信来源下载的 MCP 服务器可能包含恶意指令，如在描述字段、函数名等植入恶意代码。建议检查服务器来源、权限合理性，并定期进行安全复查。

🌐 借助可信平台的恶意代理：攻击者利用GitHub等可信平台注入恶意提示，AI代理通过可信 MCP 服务器访问敏感数据。建议清晰记录第三方工具行为，限制工具操作范围，监控异常。

🔑 令牌窃取与账户接管：攻击者窃取 MCP 服务器中未加密的 OAuth 令牌，可创建自己的 MCP 服务器实例，进行非法访问。建议加密存储 OAuth 令牌，并使用即时访问、持续验证和行为监控。

🔗 组合链攻击：用户使用未经验证的第三方 MCP 服务器，可能导致数据通过多层 MCP 服务器被窃取。建议遵循纵深防御和零信任原则，持续验证和授权每次 MCP 交互。

⚠️ 用户同意疲劳攻击：恶意 MCP 服务器发送大量无害请求，使管理人员放松警惕，从而隐藏恶意指令。建议提供清晰透明的用户界面，实施精细的同意选项。

🚪 管理权限绕过威胁：无需身份验证的 MCP 服务器可能导致 AI 代理获取超出其权限范围的信息。建议集中记录 MCP 事件，实施持续监控和异常检测。

💻 命令注入威胁： MCP 服务器未充分验证用户输入，可能导致攻击者注入恶意命令。建议对用户输入进行安全审查和控制，避免直接传递给 shell 命令。

👻 影子工具威胁：组织面临未经安全团队知晓的私自安装的 MCP 服务器（“影子MCP”），带来安全盲点。建议部署统一的 MCP 服务管理工具，结合数据丢失防护技术。

2025-07-25 14:13 北京

模型上下文协议（MCP）是 LLM 连接外部工具与数据源的机制，成 AI 集成事实标准，被多家巨头采用。但因缺乏统一安全认证，MCP 应用存数据安全、调用逻辑等隐患。本文整理 10 大已验证安全风险及防护建议。

模型上下文协议（MCP） 是一种让大语言模型（LLM）与外部工具、数据源打通的机制，能够让模型不再局限于内部知识，而是可以实时调用各种工具、访问各种文档。随着AI技术的不断发展，MCP的应用也日益广泛，OpenAI、Anthropic和微软等主要AI技术公司都开始采用它，已然成为了实现第三方数据、工具与AI智能集成的事实标准。

然而在MCP应用爆火的背后，现实远比设想的要复杂。由于MCP在设计之初并未定义统一的安全认证机制，各MCP服务器在威胁防护方面参差不齐，组织只要接入了MCP，就可能在数据安全、调用逻辑、用户预期以及性能表现等方面出现各种安全隐患。在本文中，收集整理了已被真实验证的MCP应用10大安全风险隐患，并给出了相应的安全防护建议。