事件概述

据 2026 年 3 月发布、并经掘金技 术深度分析的研究报告显示,安全研究人员在公开可访 问的 Model Context Protocol(MCP)服务器中发现了 492 台存在根本性滥用风险的实 例,其中 CVE-2025-6514 漏洞影响超过 437,000 次下 载。此次漏洞涵盖凭证暴露、提示注入( prompt injection)以及授权控制缺失等多个层面——而这些问题的 暴露时机,恰恰与企业级 MCP 部 署的规模化扩张高度重合。

MCP 是 Anthropic 于 2024 年底发布的开放标准协议,据该文章作 者引用的采用率数据显示,该协议在短 短五个月内实现了 8, 000% 的使用量增长。该协议作为 JSON-RPC 2.0 层 ,在 Claude、GPT-4o、Gemini 等 AI 模型与文件系统、数据库、API 等外部工具之间充当通 信桥梁。然而,其迅猛的普及速度已 在相当大比例的部署中显 著超前于安全加固的进度 。

分析中引用的 OWASP MCP Top 10 漏洞分类体 系,如今已将上述攻击面 正式纳入目录。其中最高 危的 MCP01 类别,涵盖不 当的 token 管理与凭证泄露问题,具 体表现为将硬编码的 API 密钥直接存储于传递 给模型上下文的工具定义中。

为何 值得关注

MCP 在功能层面正逐渐成为 Agentic AI 系统的集成总线。一台遭受攻击的 MCP 服务器所引发的绝非孤立性的 安全突破:由于 MCP 客户端需同时跨 文件系统、数据库和第三方 API 协调工具 调用,单一漏洞服务器便可能在整 个组织的工具层面引发横向移 动(lateral movement)。

CVE-2025-6514 所涉及的 437,000 次下载量 级,表明该漏洞绝非理论层面的假设风 险——生产系统已实际受到 影响。对于在内部工具链或面 向用户产品中运行 AI Agent 的工程团 队而言,攻击向量直接且明确:恶意或 配置错误的 MCP 服务器可凭借宿主进程的权 限执行任意工具调用。

架构层面的错配进 一步放大了风险。文章指出了一种常 见的反模式(anti-pattern):团队将 MCP 的 Resources 原语——本是为静态只读上下文设计的——用于提 供实时数据流。正确的架构应当采用 WebSockets、SSE 或消 息队列来处理实时数据。混淆这两种原语的团 队,将同时面临安全与可 靠性的双重失效。

对于正在评估 AI Agent 基础设施的 CTO 而言:传输层的选型 如今已是一项安全决策。该协议支 持两种传输方式——Stdio 和 Streamable HTTP。根据分析中引 用的协议规范,Stdio 不提供任何认证支持,仅适用于本地开发环 境;而配合 OAuth 2.1 的 Streamable HTTP,才 是所有生产环境部署的必经之路。

技术细节

MCP 定义了三类核心原语,工程师 必须正确界定其使用边界以规避漏洞:

  • Tools( 工具)——AI 模型可调用的可执行函数(文件读 取、API 调用、数据库查询)。必须保证幂等性(idempotent),列 表操作须支持基于游标的分页(cursor-based pagination), 且不得与底层 API 形成一对 一映射。工具定义应编码用户级工作流,而非原始系统调用。
  • Resources( 资源)——传递给模型的只读静态上下文数据。分析中明确警告, 不得将实时数据(如数据看板或事件流)填充至 Resources 中。
  • Prompts(提示词)——用于标准化重复性 AI 交互模式的预定义指令模板,通过带类 型的参数进行参数化配置。

MCP01 漏洞类别展示了最 为直接的利用路径。一个包含硬编码凭 证的工具定义:

TOOL_DEFINITION = {"api_key": "sk-xxxxx"}

会将该凭证暴露给 任何能够访问工具 schema 的进程—— 包括模型上下文本身、日志系统,以及所 有接收序列化工具定义的下游系统。正确的修 复方式是通过环境变量注入:

import os api_key = os.environ.get("MCP_API_KEY")

完整的 OWASP MCP Top 10 列表还涵盖其他攻击向量,包括通 过工具描述实施的提示注入、工具调用授权不 足,以及通过 Resource URI 发起的服务端 请求伪造(SSRF)——尽管源文章在完成完 整分类体系之前已被截断。

传输安全在 协议设计层面是非此即彼的二元 选择:Stdio 在规范上提供零认证面。任 何超出本地进程边界的 MCP 服务器,都必须采 用配合 OAuth 2.1 的 Streamable HTTP。在容器化或网络化环境中运 行 Stdio 的团队,实际上已在协议预设 的安全模型之外运行。

后续关注要点

  • CVE-2025-6514 补 丁进展——持续跟踪受影响的 MCP 服务器维护者 是否已发布修复方案,以及 437,000 次下载量究竟代 表当前的暴露规模还是历史安装量。目 前来源文章中尚未提及任何补 丁时间线。
  • OWASP MCP Top 10 正式定稿——该分类体系属 新近发布。预计在 30 天内,针对上述特 定漏洞类别的工具链——包括 linter、扫描器、策略即 代码(policy-as-code)规则——将随安全厂商的响 应而相继涌现。
  • Anthropic 官方安全指引——随 着 MCP 成为被广泛采用的开放标准且 CVE 已被 主动分配,Anthropic 很可能会发布经过安全加 固的参考实现或强制性安全公告。建议持续关注 M CP 官方规范仓库的动态更新。
  • 企 业级 MCP 安全审计——在生产环境中运行 MCP 的组 织,安全团队应立即对传输配置展开审计: 确认没有基于 Stdio 的服务器暴露于网络,并 验证所有 Streamable HTTP 端点均已强制执行 OAuth 2.1。 492 台服务器的暴露数量表明,许多团队尚未完成这一审查工 作。
  • 竞争协议的响应动向——Google 和 OpenAI 均拥有各自的模型集成框架。若 MCP 的安全事件持 续积累,需关注竞争性标准的加速演 进——这些标准可能选择在协议层面内置 安全控制,而非将责任委托给实现方。