技术说明
研究人员披露了Model Context Protocol中的一个漏洞,恶意MCP服务器可以注册包含隐藏指令的工具描述,这些指令会覆盖代理的系统提示,从而实现任意动作执行。
攻击途径
攻击者托管恶意MCP服务器并诱骗用户或代理连接到该服务器。工具描述包含提示注入载荷,这些载荷被LLM作为可信指令处理。
受影响系统
任何支持MCP的代理框架,包括Claude Desktop、Cursor以及不验证工具描述的自定义MCP集成。
缓解措施
实施工具描述净化,限制MCP服务器连接仅连接到允许列表端点,并为敏感工具操作添加人工确认环节。