Fenrisk 的安全研究人员近日发布了 Burp Suite 的全新扩展插件 MCPwned,旨在审计 Model Context Protocol (MCP) 服务器中存在的关键漏洞。
该工具旨在应对 AI 生态系统中迅速扩张的攻击面。根据 fenrisk.com 的数据,MCP 服务器正处于爆发式增长阶段,Shodan 上关于“MCP”的搜索量已达到约 10 万次,且在过去一个月内已发现了多个关键的 CVE 漏洞。
这款插件由 Raphaël Lacroix 开发,能够实现 MCP 流量检测自动化、服务器功能枚举,并能为测试工具参数预填 Payload。该插件的发布,正是为了填补 Burp Suite 等行业标准软件在针对该协议的专用安全工具方面的空白。
AI 互联带来的安全风险
Model Context Protocol (MCP) 最初由 Anthropic 在 2024 年底推出,它允许大语言模型 (LLM) 智能体以一种与模型无关的方式,与本地文件或远程 API 等外部系统进行交互。目前,OpenAI、Nginx 和 PortSwigger 等行业巨头均已迅速采用该协议。
然而,协议的普及速度已经超过了安全防护的落地速度。该协议允许客户端通过本地 STDIO 或远程 HTTP 传输方式,访问诸如“工具”和“资源”等功能模块。
Fenrisk 的报告指出,该协议默认并不包含内置的授权机制。由于 MCP 服务器的设计初衷通常并非用于人机交互,这种原生安全措施的缺失造成了一个极其危险的安全隐患。
该机构指出:“这……可能会导致开发者认为 MCP 的暴露程度低于其其他的公开攻击面。”这种心态往往会导致输入验证不足,甚至完全缺乏适当的授权机制。
为了演示这些风险,研究人员展示了一个使用 “FastMCP” 构建的示例 MCP 服务器,该服务器被刻意设置了命令注入漏洞。通过利用一个用于 ping 网络地址的工具,攻击者可以利用 “shell=True” 参数在主机上执行任意命令。
随着生态系统的不断扩大,研究人员建议安全专业人员必须为这一类新型 AI 驱动的攻击做好准备。该博客文章最后写道:“MCP 服务器将长期存在,所以让我们准备好自己的‘工具包’吧。”
