技术说明
研究显示 43% 的公开可访问 MCP 服务器可被利用进行命令执行;检测到约 21,000 个暴露的 AI 智能体实例。攻击者将指令注入到智能体隐式信任的 MCP 工具元数据(描述、参数)中。OpenClaw 类攻击通过隐式 localhost 信任劫持开发者智能体。
攻击途径
工具描述中的恶意元数据;嵌入隐藏指令的中毒工具输出;基于 Web 的 localhost 信任利用;MCP 工具库的供应链攻击。
受影响系统
使用 MCP 或类似工具调用框架的智能体 AI 部署,特别是具有广泛工具访问权限的开发者环境和企业助手。
缓解措施
加固 MCP 服务器实现;审计/沙箱化工具元数据;强制执行指令/数据边界;移除隐式 localhost 信任;要求对特权工具进行显式授权;监控工具调用异常。