Xygeni 安全术语表
软件开发和交付安全术语表

什么是模型上下文协议(MCP)?

MCP 安全详解 #

模型上下文协议并非伴随着安全警告而来。它以生产力突破的姿态出现。 standard 这使得人工智能助手能够超越聊天窗口的限制,直接与工具、文件、API 等进行交互。 pipeline当安全团队开始询问 MCP 是什么时,它已经在开发人员环境中大规模运行了。

供应链攻击正是源于应用与治理之间的鸿沟。理解模型上下文协议 (MCP) 是什么、MCP 服务器如何工作以及它们带来的风险,如今已成为一项重要的挑战。 在人工智能原生环境中运行的任何 DevSecOps 团队的核心要求.

什么是模型上下文协议?定义 #

模型上下文协议(MCP)是一个开放的 standard 它定义了大型语言模型如何与外部工具、数据源和服务进行通信。传统的 AI 助手只能以文本形式回复,而支持 MCP 的助手则可以执行操作(读取文件、查询 API、运行命令、安装依赖项以及与外部系统交互)。 CI/CD pipelines) 通过结构化接口将模型连接到开发人员的环境。

MCP由Anthropic公司于2024年11月推出,此后已被包括Claude、Cursor、Windsurf和GitHub Copilot在内的主流AI编码工具所采用。它为AI与工具之间的通信提供了一种通用语言,类似于HTTP为Web通信提供通用协议。

如果说 AI 助手是大脑,那么 MCP 服务器就是将其与开发者工具主体连接起来的神经系统。

它是如何起作用的? #

MCP采用客户端-服务器架构,包含三个组件:

  • MCP主机 开发者使用的应用程序,例如 VS Code、Cursor 或 Windsurf 等集成开发环境 (IDE),或者像 Claude 这样的 AI 助手。主机管理与 MCP 服务器的连接,并控制模型可以访问的内容。
  • MCP客户端 它驻留在主机内部,并与每个 MCP 服务器保持一对一的连接。它将模型请求转换为结构化的工具调用,并将结果返回给模型。
  • MCP服务器 是连接外部功能的桥梁。它公开模型可以调用的工具、资源和提示。MCP 服务器可以连接到文件系统、GitHub 存储库、数据库等。 CI/CD 平台或安全扫描器。模型发出的每个工具调用都会经过 MCP 服务器,由服务器执行并返回结果。

当开发者请求 AI 助手扫描项目、修复漏洞或安装依赖项时,模型并不会直接执行这些操作。它会向相关的 MCP 服务器发送结构化请求,服务器会使用授权的本地工具执行操作并返回结果。

MCP 与传统 AI 助手:有哪些变化? #

在 MCP 出现之前,AI 代码助手本质上是被动的。它们可以读取你粘贴到聊天窗口中的代码并提出修改建议,但无法直接对你的环境进行操作。MCP 彻底改变了这种模式。

这种区别对安全至关重要,因为它改变了人工智能助手能够触及的范围。传统的助手如果给出错误建议,只会让你损失一次代码审查机会。而启用 MCP 的助手如果执行错误操作(例如安装恶意依赖项、执行被篡改的构建脚本或将凭据转发到外部端点),则会导致安全事件的发生。

MCP 将 AI 助手从顾问转变为操作员。这种转变需要采用与任何有权访问您基础设施的操作员相同的安全控制措施。

什么是MCP服务器? #

一个 MCP 服务器是一个轻量级进程,它公开各种功能。 它适用于兼容 MCP 的 AI 客户端。它定义了一组工具(模型可以调用的离散操作)、模型可以读取的资源以及可以使用的提示模板。
MCP 服务器可用于各种集成:文件系统访问、GitHub、Slack、数据库、安全扫描器等。 CI/CD 平台。开发人员可以在本地、组织的基础架构内运行 MCP 服务器,也可以连接到外部供应商提供的第三方托管 MCP 服务器。
最后一类安全风险尤为突出。第三方 MCP 服务器是一个外部进程,可以访问开发者的环境。研究表明,5.5% 的公共 MCP 服务器存在工具投毒漏洞,43% 存在命令注入漏洞,这意味着相当一部分公开可用的 MCP 服务器可能被恶意利用,用于操纵 AI 行为、窃取数据或执行未经授权的命令。

MCP 安全风险:DevSecOps 团队需要了解什么 #

MCP 引入了传统应用安全工具无法覆盖的全新攻击面。主要风险包括:

影子MCP服务器。 开发人员未经正式批准或监管就在本地配置 MCP 服务器,造成清单漏洞。安全团队无法保护他们看不到的东西。

工具中毒。 恶意 MCP 服务器会暴露一些看似合法但实际上在模型调用时会执行有害操作的工具。由于模型信任其接收到的工具定义,因此可能会调用被恶意篡改的工具,而不会出现任何异常迹象。

通过MCP快速注射。 文件、文档或 API 响应中的恶意内容可以将指令注入模型上下文,从而操纵其行为。如果 MCP 服务器读取外部内容未经清理就将其传递给模型,则该服务器构成直接的指令注入途径。

依赖性篡改。 管理软件包安装或依赖关系解析的 MCP 服务器可能被攻破,从而安装恶意软件。当 AI 代理通过 MCP 服务器自主安装依赖项时,恶意软件和依赖项之间没有人工审核。 pipeline.

资质认证曝光。 MCP 服务器经常处理身份验证令牌、API 密钥和环境变量。不安全的 MCP 配置可能会通过模型上下文或日志泄露这些凭据。

未经授权的工具执行。 如果没有严格的允许列表,启用 MCP 的助手可以调用超出其预期范围的工具,修改生产基础设施,访问敏感存储库,或向外部服务发出 API 调用。

安全最佳实践 #

要确保 MCP 的安全,需要将每个 MCP 服务器视为特权集成,而不是开发人员的便利工具。

  • 在终端阻止恶意依赖项。 当启用 MCP 的代理安装依赖项时,该安装过程应在执行前被拦截和扫描。基于特征码的检测不足以应对这种情况;针对 AI 工具的恶意软件包发布速度远超特征码的追踪速度。
  • 清点所有 MCP 服务器。 了解您的开发环境、本地环境以及其他环境中配置了哪些 MCP 服务器。 CI/CD pipeline以及在您的 IDE 配置中。影子 MCP 与影子 IT 的问题相同,都是直接访问您的工具。
  • 强制执行 MCP 允许列表。 只有经过批准的MCP服务器才能运行。任何未经批准的服务器尝试连接时,都应在端点处被阻止,使其无法与模型交互。
  • 对 MCP 工具定义应用最小权限原则。 每个 MCP 服务器都应该只公开其特定功能所需的工具。文件读取服务器不应该公开软件包安装功能。
  • 验证并清理通过 MCP 传输的内容。 任何通过 MCP 服务器进入模型上下文的外部内容(文件、API 响应、数据库结果)都可能成为提示注入的入口点。请将其视为不可信输入。
  • 在运行时监控 MCP 交互。 记录模型通过 MCP 服务器发出的每一次工具调用。异常模式(意外的工具调用、来自构建环境的出站连接、正常工作时间之外的工具调用)是安全漏洞的早期迹象。

真实世界的安全事件 #

MCP 安全性并非纸上谈兵。2026 年初,皇后大学的一项研究证实,MCP 协议栈具有…… 92% 的利用概率 当多个插件组合使用时,PromptMink 攻击活动(据称由朝鲜官方支持的组织 Famous Chollima 发起)专门设计恶意 npm 包,以欺骗通过类似 MCP 接口运行的 AI 编码代理,使其安装窃取凭证的恶意软件。这些包的设计使其即使经过人工审核也能被 AI 代理识别为合法程序。

2026六月份, Xygeni 确认了 ollama-helpers 和 openai-agents-helpers 集群。 (超过35个版本以协调一致的批次发布)直接针对在智能体开发工作流程中使用的软件包,这些工作流程中普遍存在MCP连接。当AI智能体通过MCP服务器自主安装依赖项时,恶意软件包和执行之间没有任何人工审核。

在人工智能供应链安全领域,MCP 是什么? #

MCP 处于人工智能安全和 software supply chain security它是将人工智能模型与定义现代人工智能系统的工具、存储库和基础设施连接起来的层。 SDLC这使得它既是 AI 原生开发中最强大的集成点,也是最容易受到攻击的面。

传统应用安全仅限于代码仓库。EDR 监控操作系统。两者都无法理解 MCP 服务器、工具调用或 AI 介导的依赖项安装。而这两者之间的差距,正是基于 MCP 的攻击可乘之机。

确保 MCP 安全需要了解正在运行的 MCP 服务器、它们公开的工具、模型调用的内容,以及所处理的依赖项和文件是否经过验证。这实际上是将 AI 资产清点、行为监控和供应链安全合并成一个单一问题。

使用 Xygeni 保障 MCP
#

MCP 安全不仅仅需要策略文档和最佳实践清单。它还需要持续监控开发环境中正在运行的 MCP 服务器,监控模型发出的每一个工具调用,并在恶意依赖项执行之前(甚至在签名出现之前)在端点处将其拦截。理解模型上下文协议 (MCP) 至关重要。

Xygeni的AI安全平台 涵盖完整的 MCP 攻击面:通过 AI-SPM 清点每个 MCP 服务器,通过符合 OWASP MCP Top 10 的 AI 安全扫描检测工具投毒、提示符注入和不安全的 MCP 配置,并通过 Shield 在开发者终端强制执行策略,在未经批准的 MCP 服务器和恶意依赖项到达目标之前将其阻止。 pipeline.

如果您的团队正在运行 AI 编码助手,那么 MCP 层已经成为您攻击面的一部分。问题在于您是否能够看到它。

常见问题解答 #

人工智能中的MCP是什么?

MCP(模型上下文协议)是一个开放的 standard 它允许人工智能助手与外部工具、数据源和服务进行通信。它使人工智能模型能够通过结构化界面执行操作(读取文件、查询API、安装软件包、运行命令),而不仅仅是以文本形式响应。

MCP安全吗?

如果管理不当,MCP 会带来重大的安全风险。研究表明 5.5% 的公共 MCP 服务器存在工具投毒漏洞,43% 存在命令注入漏洞保护 MCP 需要清点每个 MCP 服务器,强制执行允许列表,应用最小权限原则,并在运行时监控工具调用。

MCP与传统API有什么区别?

传统的API由开发者编写和控制的代码调用。而MCP工具调用则由AI模型根据其对任务的理解来触发。该模型决定调用哪些工具、调用顺序以及使用哪些参数,这使得MCP交互比传统的API调用更难预测和审计。

MCP中的工具中毒是什么?

工具投毒攻击是指恶意 MCP 服务器暴露看似合法的工具定义,但这些定义在模型调用时会执行有害操作。由于模型信任从连接的 MCP 服务器接收的工具定义,因此可能会在没有任何明显警告的情况下调用被投毒的工具。

什么是通过MCP进行快速注射?

当文件、文档或 API 响应中的恶意内容(通过 MCP 服务器传递到模型上下文中)操纵模型的行为时,就会发生通过 MCP 进行的提示注入。这相当于 MCP 中的 SQL 注入:不受信任的输入影响受信任系统的行为。

开始免费

免费开始使用。
不需要信用卡。

一键开始:

这些信息将按照 服务条款隐私政策

应用截图