作为连接AI模型与外部工具的“USB-C接口”,MCP协议成为AI生态的核心枢纽,其安全风险已从理论威胁转化为实际攻击目标。
https://blog.csdn.net/WangsuSecurity/article/details/148335401?sharetype=blogdetail&sharerId=148335401&sharerefer=PC&sharesource=WangsuSecurity&spm=1011.2480.3001.8118上篇提到,MCP安全主要包括MCP Server安全与MCP Host安全。本文作为系列中篇,将解析MCP Server运行时在本地与远程场景下的权限管控、流量过滤等实战方案,并前瞻网关架构的统一防护演进。
MCP Server运行时涉及对外指令执行、资源访问、接口交互等多种行为,一旦缺乏有效的行为控制机制,这些操作便可能被滥用或恶意利用,从而对系统的正常运行和安全性造成影响。
目前MCP Server 支持多种通信模式,包括本地的标准输入输出(STDIO)以及基于 HTTP 协议的 SSE(Server-Sent Events)和Streamable HTTP。STDIO 主要用于本地集成,通过进程间数据交互实现通信,SSE 和 Streamable HTTP 则依托网络进行远程交互。不同的通信方式涉及不同的运行环境,面临不同的安全风险。
一、本地运行时安全
可以注意到,MCP 协议中Tools 的 annotations 字段通常包含开发者主动声明的行为属性(如 readOnlyHint、openWorldHint 等,详见上篇Tool安全章节)。首先,应对预定义的行为属性与功能需求进行一致性比对,确认其合理性;随后再对比实际行为是否符合预定义行为,判断其是否存在偏离或异常。例如,Tool若声明了readOnlyHint: true,则应禁止或严格监控其写入及删除等行为。
同时,MCP协议还通过Resources原语让MCP Server对外暴露其作用的资源列表。通过resources/list在一定程度上可以促使MCP Server进行行为的定义。但是由于大多数情况下资源难以穷举并通过数据方式进行交互,故不被广泛使用。
当前annotations字段存在行为约束粒度太粗的问题,无法精准的描述工具的行为范围,Resources原语也难以描述Server的行为范围。协议本身的问题影响对Server行为的控制和风险识别,需要更加完善的方案。
可以将本地运行的MCP Server类比为手机上的应用程序(App),作为插件为Agent(AI)提供多样化能力。每个MCP Server都应像手机App一样,明确定义自身可访问的资源范围。例如,文件读写需限定在明确路径内,防止越界访问本地敏感区域;网络访问也应受限于可信的服务器域名范围内,该行为的控制对于仅做协议适配器的Server更为重要。
借鉴手机App的权限控制和行为管理机制,MCP Server也应建立完善的行为管理体系。建议事先梳理所有可能出现的操作行为,并按照实际需求和安全原则进行分类:
- 非功能相关的行为:仅允许与 MCP Server 业务强相关的资源与权限。例如,地图类MCP Server的网络访问仅应限定于地图服务相关服务器,禁止访问其他无关的网络地址;在多 MCP 部署环境中,如无业务需求,应强制各 Server 间互相隔离,避免互访,防止权限越界和数据泄露。
- 允许的高风险行为:包括各类高风险操作,如外部网络访问、命令执行、提升权限、删除数据、资金交易等行为。在执行此类敏感操作前,MCP Host需要通过合理交互让用户进行二次确认。在高风险操作执行前弹出操作详情以及风险提示,用户明确同意授权后方可操作。
- 允许的低风险行为:如正常业务下的读取配置、访问业务 API、常规数据传输等,虽风险较低但亦可能被滥用,应纳入日志和审计范围。针对异常请求频率、行为孤岛等可疑情况,应及时告警处理。
二、远程运行时安全
1. 通信安全
不安全的通信链路可能导致未授权接入、敏感数据泄露、请求篡改等行为风险。为此,应从以下方面加强 MCP Host 与 Server 之间的数据传输安全与访问控制:
认证与鉴权:防止未经授权的客户端接入 MCP Server,建议采用 OAuth 2.1、PKCE等鉴权手段,确保只有可信主体可以建立连接并进行操作,保障身份和权限的合规性,有效隔绝未授权访问风险。
TLS/SSL 加密:避免通信内容被窃听与篡改,通过启用安全 TLS/SSL 协议、验证服务端证书、禁用弱加密套件、定期审查配置,确保数据全程加密传输。
签名机制:防止数据被中途篡改或伪造,对请求应用数字签名并服务器侧严格验签,以保障数据完整性和可信度。
防重放攻击:防御攻击者重用历史请求,通过引入时间戳、随机数等唯一性校验机制,有效杜绝重放风险。
2. 流量安全
MCP Host 与 MCP Server 之间的异常流量往往源于攻击行为。利用流量过滤及监测手段,可及时阻断这些潜在风险,从而有效保障系统稳定运行和数据安全。
请求过滤:防止恶意参数和非法指令流入 MCP Server,采用严格的规则校验,阻断高风险输入。
响应过滤:避免恶意服务器通过异常或恶意响应影响模型行为和终端用户安全,需对返回内容进行安全过滤。
日志记录:缺乏有效日志可能导致风险难以及时发现与溯源,通过细致的关键流量日志记录,确保具备可追溯性和审计能力。
3. 统一防护
面向未来技术演进,可以在架构中引入专门的 MCP 网关或 AI 网关组件,用于统一处理 MCP Server 的安全防护与流量治理。
这些网关不仅承担通信安全、流量过滤、协议适配等基础职责,还可以作为沙箱控制中心,实现对 MCP Server 的环境隔离与访问控制,从而有效抵御潜在的攻击风险。同时,还能满足对分布式环境下服务治理、健康检测等功能的需求。
通过SDK、MCP Proxy、MCP 网关、AI 网关等架构演进,对MCP Server进行标准化、体系化的安全防护。
小结
在筑牢Server端防线后,终端用户直接交互的MCP Host成为攻击的最后突破口。下篇将聚焦Host的凭证加密、输入过滤等终端防护策略。