AI通信协议MCP被曝致命漏洞,微软、谷歌等巨头系统或已沦陷
近日,一项被广泛用于连接大语言模型与外部系统的通信协议——模型上下文协议(Model Context Protocol,简称MCP)被安全公司OX Security揭露存在严重架构缺陷。该缺陷可导致攻击者远程执行任意代码(RCE),目前已确认关联10个“严重”级别CVE漏洞,且数量仍在快速上升。更令人震惊的是,这一漏洞并非偶然的代码错误,而是深埋于Anthropic官方SDK底层的“设计选择”。
MCP本是Anthropic为统一AI模型与数据库、API、插件等外部系统通信而推出的开放标准,曾被微软、谷歌、OpenAI等公司内部采用,并集成进多个主流AI开发框架。如今,包括LangChain、LiteLLM、IBM LangFlow在内的多个开发者广泛使用的开源工具包,均被证实存在可被利用的高危漏洞。部分企业已确认在生产环境中遭遇攻击,敏感数据被窃取、内部系统被横向渗透。
四种攻击方式已实测成功,攻击门槛低到惊人
OX Security团队通过真实环境测试,确认了四种可被轻易复现的攻击路径:
- 未认证UI注入:攻击者无需登录,仅通过前端界面输入恶意指令,即可触发后端执行。
- 安全加固绕过:即使启用了“输入过滤”或“权限限制”,攻击者仍能通过构造特殊格式的上下文数据绕过检测。
- 提示词注入(Prompt Injection)升级版:不再是简单的“忽略之前指令”,而是诱导模型调用系统命令,如读取文件、连接数据库、启动进程。
- 恶意插件分发:攻击者上传伪装成“数据分析工具”或“文档助手”的插件,一旦被集成进企业AI工作流,即可长期潜伏、窃取数据。
一位匿名的AI平台运维人员向媒体透露:“我们上周刚上线了一个基于MCP的客服机器人,用于自动查询客户订单。没想到两天后,内部审计系统报警,发现有外部IP通过该机器人读取了客户地址数据库——我们根本没给它访问权限。”
Anthropic拒绝修复,称“这是设计,不是漏洞”
面对OX Security的多次通报,Anthropic的回应令业内哗然。据知情人士透露,研究团队曾提交详细漏洞报告,并建议重构协议的数据验证层,但Anthropic方面明确拒绝:“我们不认为这是漏洞。MCP的设计初衷就是让模型能自由调用外部资源,如果用户不想被攻击,应该自己做好隔离。”
这句话背后,是AI行业普遍存在的“功能优先于安全”思维。在追求模型“全能性”和“自动化”的浪潮中,安全边界被不断后撤。如今,MCP协议已成无数AI应用的“后门”——它不阻止攻击,只责怪用户没关好门。
开发者紧急自救指南:别再把AI当黑箱
目前,没有官方补丁,也没有升级方案。面对这一无解的架构风险,安全专家给出以下硬核建议:
- 立即下线公网暴露的MCP服务:任何对外提供API的AI系统,若使用MCP协议,必须立即断开公网访问,仅限内网调用。
- 所有输入都当病毒处理:用户输入、插件数据、API响应——统统视为不可信。哪怕是一句“帮我查下天气”,也可能藏着恶意指令。
- 强制沙箱运行:所有MCP相关进程必须在隔离环境中运行(如Docker + seccomp + AppArmor),禁止访问文件系统、网络和环境变量。
- 禁用高危功能:关闭插件自动安装、禁止执行系统命令、禁用文件读写权限——哪怕影响功能,也要保命。
- 监控异常行为:记录所有MCP调用日志,特别是对`os.system`、`curl`、`wget`、`cat /etc/passwd`等敏感操作的调用。
更残酷的现实是:你可能已经中招了,却还不知道。许多企业把AI助手当成“自动客服”或“智能搜索”,却从未想过它背后连着数据库、邮件系统和内部API。一个看似无害的问答,可能正在悄悄导出你公司的客户名单。
这不是AI的未来,是安全的警钟
MCP的危机,不是某一家公司的失误,而是整个AI基础设施野蛮生长的缩影。我们急于让模型“懂一切”,却忘了它也可能“做一切”。当AI能调用你的银行接口、读取你的邮件、控制你的服务器时,它的“智能”就成了最大的威胁。
目前,GitHub上已有开发者自发创建“MCP安全检测工具包”,并推动社区建立“无MCP”替代方案。如果你正在使用LangChain、LiteLLM、或任何标注“支持MCP”的AI工具——现在,是时候重新评估你的系统了。
别等数据泄露了,才想起问:“它怎么连上我们内网的?”