風險概述：默認配置暴露命令執行漏洞

數百臺用于連接大語言模型（LLM）與第三方服務、數據源及工具的模型上下文協議（Model Context Protocol，MCP）服務器存在默認配置缺陷，可能導致用戶面臨未授權的操作系統命令執行等風險。

隨著代理型AI（Agentic AI）的興起，MCP服務器正迅速成為增強AI模型推理上下文的關鍵工具。但安全研究人員警告，大量公開共享的MCP服務器存在不安全配置，攻擊者可利用這些缺陷入侵系統或泄露敏感數據。應用安全公司Backslash近期掃描了公共倉庫中的數千臺MCP服務器，發現數百臺存在危險配置錯誤，包括默認暴露于不可信網絡和操作系統命令注入路徑。

"除了代碼執行，MCP還能成為提示注入（prompt injection）和上下文污染（context poisoning）的隱蔽通道，"Backslash研究人員在漏洞報告中指出，"惡意篡改的公共內容可能改變LLM的認知——返回誤導性數據或重定向代理邏輯。"

MCP服務器：AI代理的核心基礎設施

由Anthropic公司開發的MCP協議旨在標準化LLM與外部數據源及工具的雙向交互方式，通過持久化記憶機制增強推理上下文。這對構建AI代理和氛圍編程（vibe coding）至關重要——后者指通過自然語言提示引導LLM構建完整應用程序的開發實踐。

該協議發布不足一年便獲快速普及，數萬臺連接LLM與特定服務及專有工具的MCP服務器已上線。Anthropic已發布與Google Drive、Slack、GitHub等流行服務交互的MCP參考實現。今年3月OpenAI采用該協議，4月谷歌宣布計劃將其整合至Gemini模型及基礎設施。

部分MCP還能與Cursor、Windsurf等AI輔助集成開發環境（IDE）對接。除訪問外部工具外，MCP可交互本地文件系統、在內存構建知識圖譜、通過命令行工具獲取網絡內容及執行系統命令。

"鄰居劫持"：暴露互聯網的MCP服務器

多數MCP服務器默認缺乏強認證機制。當部署在本地系統時，任何能訪問其通信接口者都可能通過協議發送命令。若服務器僅監聽本地地址（127.0.0.1），這并非問題。但Backslash發現數百臺MCP服務器默認將通信接口綁定至0.0.0.0（所有網絡接口），研究人員將此類配置缺陷命名為"NeighborJack"。

"設想在共享辦公空間編碼時，"研究人員描述，"鄰座人員可通過你的MCP服務器冒充工具執行操作，如同將未鎖筆記本留在公共場所。"

未認證的系統命令執行

攻擊影響取決于MCP具體功能。多數情況下攻擊者可能查詢專有數據源或通過配置憑證訪問第三方服務。但研究人員在數十臺服務器上發現了可導致任意命令執行的攻擊路徑，包括子進程濫用、輸入未凈化及路徑遍歷等漏洞。

"當網絡暴露遇上過度權限，就形成了完美風暴，"研究人員指出，"同一網絡中的攻擊者能完全控制主機——無需登錄、授權或沙箱限制。我們已發現多臺服務器存在此致命組合。"

提示注入與上下文污染

由于MCP設計用于訪問數據庫等數據源并通過多種工具抓取內容，其面臨通過惡意輸入的遠程攻擊面較大。在概念驗證中，研究人員構建了使用Cheerio庫提取網頁元數據的MCP服務器，當指向包含隱藏LLM系統提示的網站時，連接的Cursor IDE執行了將用戶OpenAI密鑰回傳的攻擊。

"在未公開的發現中，我們確認了通過良性公開文檔觸發級聯入侵的攻擊路徑，"研究人員補充，"問題不在于MCP代碼本身，而在于其訪問數據源的配置。該漏洞影響數萬用戶的流行工具，我們正與廠商協調披露事宜。"

緩解措施

Backslash團隊已建立可免費查詢的MCP服務器安全中心數據庫，并提供基于網頁的IDE配置評估服務（需注冊）。對開發者的建議包括：驗證凈化所有外部輸入、限制文件系統訪問、防止LLM響應泄露令牌等敏感數據、實施API調用管控、驗證數據源可靠性，以及優先采用標準輸入輸出傳輸機制替代服務器推送事件。