MCP 攻击
MCP 攻击 是什么?
MCP 攻击利用模型上下文协议 (MCP) 注入提示、滥用工具或通过 AI 助手所信任的服务器进行横向渗透的攻击。
MCP 攻击针对模型上下文协议 (Model Context Protocol),这是 Anthropic 推出的开放标准,允许 AI 助手通过统一接口连接外部工具、数据源和应用程序。由于 MCP 服务器可以向模型暴露工具、资源和提示,恶意或被入侵的服务器可以注入隐藏指令、外泄用户数据、请求危险的工具调用,或在用户授权后偷偷修改工具定义 (即所谓的 rug pull)。相关手法还包括工具描述污染、跨服务器的 confused deputy 攻击以及通过返回文档进行的提示注入。常见缓解措施包括对服务器身份进行签名和固定、最小化权限、按工具调用进行显式确认,以及对 MCP 服务器进程进行沙箱化。
● 示例
- 01
恶意 MCP 服务器悄悄修改用户此前已批准的工具描述,使后续调用静默地外泄邮箱内容。
- 02
MCP 服务器返回的文档中嵌入隐藏指令,诱导助手将用户的 API 密钥发送到攻击者的 webhook。
● 常见问题
MCP 攻击 是什么?
利用模型上下文协议 (MCP) 注入提示、滥用工具或通过 AI 助手所信任的服务器进行横向渗透的攻击。 它属于网络安全的 AI 与机器学习安全 分类。
MCP 攻击 是什么意思?
利用模型上下文协议 (MCP) 注入提示、滥用工具或通过 AI 助手所信任的服务器进行横向渗透的攻击。
MCP 攻击 是如何工作的?
MCP 攻击针对模型上下文协议 (Model Context Protocol),这是 Anthropic 推出的开放标准,允许 AI 助手通过统一接口连接外部工具、数据源和应用程序。由于 MCP 服务器可以向模型暴露工具、资源和提示,恶意或被入侵的服务器可以注入隐藏指令、外泄用户数据、请求危险的工具调用,或在用户授权后偷偷修改工具定义 (即所谓的 rug pull)。相关手法还包括工具描述污染、跨服务器的 confused deputy 攻击以及通过返回文档进行的提示注入。常见缓解措施包括对服务器身份进行签名和固定、最小化权限、按工具调用进行显式确认,以及对 MCP 服务器进程进行沙箱化。
如何防御 MCP 攻击?
针对 MCP 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
MCP 攻击 还有哪些其他名称?
常见的别称包括: 针对 Model Context Protocol 的攻击, MCP 工具注入。