隨著 AI 助手透過工具使用獲得更多能力,一個具有重大漏洞的新安全前沿正在出現。最近釋出的 MCP-Shield 工具突顯了模型上下文協議(Model Context Protocol,MCP)生態系統中的關鍵安全問題,引發了關於與外部工具互動的 AI 系統所面臨的基本安全挑戰的重要討論。
工具中毒和提示注入漏洞
MCP-Shield 掃描已安裝的 MCP 伺服器以檢測漏洞,包括工具中毒攻擊、資料洩露渠道和跨源升級。社群討論顯示,人們對完全防範提示注入攻擊的可行性持深度懷疑態度。一位評論者將其與長期以來對抗 SQL 注入的鬥爭進行了類比,指出儘管經過數十年的努力,防範此類攻擊仍然具有挑戰性。然而,另一位評論者指出引數化查詢是解決 SQL 注入問題的方法,暗示類似的結構化方法最終可能會出現在提示安全領域。
「人們幾十年來一直在努力防範 SQL 注入攻擊,而 SQL 有明確的值引用規則。我對找到一種能安全地將使用者輸入包含到提示中的解決方案沒有太大信心,但我很希望被證明是錯的。」
安全工具的侷限性
社群已經識別出 MCP-Shield 方法的幾個侷限性。該工具主要依靠拒絕列表正則表示式來識別惡意模式,這很容易被繞過。評論中的安全專家指出,適當的安全工具應該使用允許列表而不是拒絕列表,儘管這在自然語言中確實更加困難。此外,MCP-Shield 的可選 Claude AI 整合用於更深入的分析,但這引入了自身的潛在漏洞,創造了一個評論者所稱的奇怪迴圈:使用一個 LLM 來分析可能存在於另一個 LLM 工具中的問題。
MCP-Shield 檢測到的關鍵漏洞
- 隱藏指令的工具投毒:包含在描述中不可見的隱藏指令的惡意工具
- 工具影子化:修改其他合法工具行為的工具
- 資料洩露渠道:可能被用於提取敏感資訊的引數
- 跨源違規:嘗試攔截或修改來自其他服務的資料的工具
- 敏感檔案訪問:嘗試訪問私人檔案(如 SSH 金鑰)的工具
MCP-Shield 功能特點
- 跨多平臺(Cursor、Claude Desktop、Windsurf、VSCode、Codelium)掃描 MCP 配置檔案
- 可選的 Claude AI 整合,用於更深入的漏洞分析
- 新的"--identify-as"標誌,用於檢測基於客戶端 ID 表現不同的伺服器
- 支援自定義配置路徑
規避技術和多語言繞過
評論揭示了惡意行為者可以繞過 MCP-Shield 掃描的多種方式。一種簡單的技術是用英語以外的語言編寫工具描述,這可能會逃避掃描器的大多數檢測模式。另一個重要的擔憂是伺服器可能進行誘餌和開關行為——向安全掃描器報告一組無害的工具,同時向實際客戶提供另一組潛在的惡意工具。針對這一反饋,開發者迅速實現了 --identify-as 標誌,允許使用者在掃描期間模擬特定客戶端。
更廣泛的 MCP 安全生態系統
討論顯示,圍繞 MCP 的安全環境正在快速發展。多種安全工具正在出現,評論者提到了另一個類似的工具,來自 Invariant Labs 的 mcp-scan。一些人質疑整個 MCP 方法是否引入了不必要的複雜性和安全風險,建議執行具有有限許可權的伺服器可能比不遺餘力地保護 MCP 伺服器更為簡單的安全解決方案。
執行時漏洞仍未解決
MCP-Shield 能力的一個明顯缺口是它專注於工具定義的靜態分析,而不是分析工具執行時返回的實際結果。當被問及如何檢測工具結果中的提示注入時,開發者承認了這一侷限性,解釋說在安全掃描期間執行潛在不受信任的程式碼會帶來重大挑戰。這突顯了 MCP 生態系統中設計時和執行時安全關注點之間的區別。
像 MCP-Shield 這樣的工具的出現代表瞭解決 AI 系統安全問題的重要第一步,但社群討論表明,我們仍處於理解和緩解這些新型安全威脅的早期階段。正如一位評論者幽默地指出,AI 中的'S'代表'安全'——這是一個幽默的提醒,安全仍然是當前 AI 系統中的一個重大缺口。
參考:MCP-Shield