近 2000 台 MCP 服务器毫无安全防护可言

图片

作为智能代理人工智能核心的 MCP 协议，其身份验证功能竟是可选项，且无人启用，这意味着，任何攻击者都能随意掌控这些服务器。

如今，暴露在互联网上的近 2000 台模型上下文协议（MCP）服务器中，几乎所有都完全缺乏身份验证或访问控制机制。

每项技术诞生之初，总会经历成长阵痛，网络安全问题尤为突出。人工智能领域更是如此 —MCP 服务器便是典型例证：在安全措施尚未完善时，人们已急于将其投入使用。这类服务器能便捷地将 AI 模型与数据源对接，自 Anthropic 公司推出 MCP 协议后的九个月内，已催生数千台服务器，其中大量设备违反安全最佳实践，直接暴露在开放网络中。

Knostic 公司的研究人员扫描发现，共有 1862 台 MCP 服务器暴露在互联网上。仅这一现象本身就暗藏风险，而进一步调查更令人忧心：这些服务器均未设置任何身份验证机制。

01 暴露的 MCP 服务器

为测试此类服务器的典型安全水平，研究人员选取了 119 台样本进行检测。他们向每台服务器发送 "tools/list" 请求，要求列出所有可执行功能（工具）。结果显示，这 119 台服务器中，没有一台要求验证身份即可响应请求，如同向路人袒露 "隐私"。

Knostic 研究工程师希瑟・林恩回忆起这一惊人发现："我们看到有人将数据库连接器、云服务管理工具直接暴露在外。其中有一台属于汽车维修机构的服务器，用于管理维修进度和成本估算，这些信息竟能被公开查询。"

从某种程度上看，这项调查揭示了 MCP 服务器在各行业的普及程度。林恩补充道："我们发现部分服务器用于展示列车时刻表 —— 若服务器其他功能处于锁定状态，这算是合理用途。但还有些服务器搭载了企业 productivity 应用（如项目管理仪表盘、团队沟通工具）、市场研究工具，甚至法律数据库。我们无法判断这些案例信息是公开资料还是私密内容。"

出于伦理考量，研究人员就此停止调查。但事实上，攻击者若处于相同位置，完全可以调用这些功能实施恶意行为。

尽管尚未出现实际攻击案例，但攻击者理论上可利用 MCP 服务器执行任意命令，进而全面控制系统。他们能窃取数据（包括敏感文件、凭证、API 密钥等服务器存储的所有信息），甚至发起 "钱包耗尽"（DoW）攻击 —— 占用受害者的计算资源以抬高其运营成本。

02 MCP 安全现状

林恩承认，MCP 乃至整个 AI 领域正经历早期技术的必经阶段，但她强调："这次的情况有所不同。"

她以云计算早期为例解释道："当年部署这类技术的技术门槛很高，操作者必须是程序员且具备相关经验。但如今许多 AI 技术设计得即开即用、极易上手，这吸引了大量缺乏安全意识的用户参与，而他们正在付出惨痛代价学习安全教训。"

开发者本可在新技术中强制嵌入安全机制，避免用户犯错。但 Anthropic 公司的 MCP 协议规范从一开始就将身份验证交由用户自主决定，且目前尚无用户启用该功能（或许有少数用户启用了，但那些不必要地将服务器暴露在网上的用户，往往在其他安全环节也容易疏忽）。

不过林恩并未指责 Anthropic："通常人们推出实验性协议时，会先测试市场反响。若预期普及度不高，可能不会预先投入大量精力完善安全机制。"

"我认为，当他们意识到 MCP 将被广泛采用后，已采取正确举措 —— 更新规范以增强安全考量。" 新版 MCP 规范虽仍未强制要求身份验证，但为有意实施的用户提供了更多指导和工具。

她还指出："据我观察，Anthropic 与安全社区保持着良好合作，他们在以技术保护世界方面展现了应有的责任感。"