◈ AI 安全情报 ← 全部术语
Concept  ·  术语库

Model Context Protocol (MCP)

定义
一项技术标准——类似于通用插座——让AI助手和AI代理能够连接到外部工具、数据库和服务。它正在迅速成为公司将其AI系统连接到真实业务数据和操作的主要方式。AI代理使用MCP来,例如,读取文件、查询数据库或代表用户发送电子邮件。
影响分析
MCP已成为主要的攻击面:MCP服务器中的漏洞可能允许攻击者劫持AI代理的操作、窃取其使用的凭证或获得对敏感业务系统的访问权限。在调查期间披露了MCP实现中的多个严重缺陷。
近期相关发现
Cloud Security Alliance: '7 MCP Risks CISOs Should Consider and How to Prepare' — Authoritative Practitioner Guidance on Model Context Protocol SecurityOpenClaw MCP Server Leaks Operator Custom Headers to Attacker-Controlled Redirects (CVE-2026-53840)Royal MCP WordPress Plugin — Unauthenticated Broken Access Control (CVE-2026-40775)Linx Security: GA of Agentic Access Control — Inline MCP Gateway with Tool-Level Policy EnforcementNetskope AI Gateway Adds Inline MCP Traffic Inspection and Agent Guardrailsmcp-server-kubernetes CVE-2026-46519 — CVSS 8.8 Access Control Bypass Via Environment Variable Override in MCP Kubernetes Server
相关主题发现 (12)
Royal MCP WordPress 插件——未认证的访问控制破坏(CVSS 7.3)VS Code MCP 服务器托管身份权限提升 (CVE-2026-40376)Linx Security 推出代理访问控制——具有工具级策略执行和完整审计日志的内联 MCP 网关Expedia 正在准备 Model Context Protocol 服务器以实现 AI 代理直接访问旅行库存1Password和OpenAI推出MCP服务器,防止编码代理凭据泄露到模型上下文中AI Engine WordPress插件:MCP OAuth权限提升漏洞导致订阅者权限升级为管理员Model Context Protocol STDIO传输中的系统性命令执行缺陷影响200,000台AI代理服务器CSA发布用于保护Agentic运行时环境的AARM框架在多个 MCP Server 实现中披露的路径遍历漏洞DocsGPT中通过MCP测试绕过的关键RCE漏洞已在版本0.16.0中修补MCP协议为2026年生产部署中的智能代理AI定位MCPwn: nginx-ui 身份验证绕过导致未经身份验证的 MCP 服务器接管
参考资料
Cloud Security Alliance: 7 MCP Risks CISOs Should Consider
在实时动态中跟踪 了解这一概念在真实 AI 安全与治理事件中的体现。
打开动态 →