2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
OX 安全公司花费五个月时间调查了 Anthropic 公司的模型上下文协议。他们在模型上下文协议生态系统中提交了 10 个通用漏洞披露编号。Anthropic 公司的回应是:标准输入输出模型上下文协议服务器就是这样设计的。
他们说得对。而这正是问题所在。
“预期行为”的含义
模型上下文协议的标准输入输出传输机制接收一个命令字符串,并将其传递给操作系统子进程执行。在模型上下文协议握手验证其是否为合法服务器之前,子进程就已经运行了。如果你传递了一个恶意命令——例如反向 Shell、数据窃取脚本或 rm -rf——操作系统就会执行它。随后握手失败并返回错误,但恶意负载已经执行完毕。
这影响了所有 10 种官方支持的软件开发工具包语言。Anthropic 公司的立场是:清理传递给标准输入输出的命令是开发者的责任,而不是协议的责任。
OX 公司提出了四项修复方案。Anthropic 公司拒绝了所有方案:
- 仅允许执行清单(用经过验证的清单替换任意命令)
- 针对高风险二进制文件的命令白名单
- 强制性的危险模式选择加入标志
- 带有签名清单的市场验证
在漏洞披露后,Anthropic 公司更新了 SECURITY.md 文件,指出标准输入输出适配器“应谨慎使用”。OX 公司的研究人员表示:“这一变更没有修复任何问题。”
数据比你想象的更糟糕
这并非某一位研究人员发现的一个漏洞。多个团队独立扫描模型上下文协议生态系统后,得出了相同的结论:
- AgentSeal 扫描了 1,808 个模型上下文协议服务器:66% 存在至少一个安全问题。其中 427 个为严重级别,1,841 个为高危级别。40% 的问题属于代码执行漏洞。
- BlueRock 扫描了 7,500 多个服务器:36.7% 存在服务器端请求伪造漏洞,43% 存在命令注入漏洞。
- 趋势科技 发现 492 个公共模型上下文协议服务器既无身份验证也无加密,暴露了 1,402 个工具,这些工具可直接读取数据库、云平台和金融系统的数据。
- Astrix Security 调查了 5,200 多个模型上下文协议实现:仅有 8.5% 使用开放授权协议。53% 依赖长期有效的静态应用程序接口密钥。
AgentSeal 进一步行动——他们对 6 个备受瞩目的模型上下文协议服务器(共计 68,305 个 GitHub 星标)进行了运行时测试,并确认 96.4% 的发现成果可利用。其中一个服务器(claude-flow,拥有 26,976 个星标)的 254 个模型上下文协议工具没有任何身份验证,且在生成的进程上硬编码了 --dangerously-skip-permissions(危险地跳过权限)标志。
五种模型上下文协议攻击模式
在构建并运行了 14 项针对模型上下文协议的特定安全测试后,以下是始终成功的攻击类别:
1. 工具描述注入(MCP-001,MCP-014)
恶意的模型上下文协议服务器在其工具描述中嵌入隐藏指令。当大型语言模型读取工具列表时,注入的文本成为其上下文的一部分——实际上是通过协议层 delivered 的提示词注入。
# MCP-014 扫描每个工具描述以查找注入模式
HIDDEN_INSTRUCTION_PATTERN = re.compile(
r'ignore\s+(?:all\s+)?previous\s+instructions'
r'|you\s+are\s+now\s+(?:unrestricted|unfiltered|DAN)'
r'|system\s*
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
