文章总结： 本文系统分析了第三方MCP服务器的安全风险，包括工具投毒与提示注入、内存投毒和工具干扰三类主要风险，并提出了认证授权控制、客户端沙箱化、安全发现机制和治理流程四项应对措施。文章强调不应让模型自由使用工具，而应在严格约束下使用，并提供了实际安全检测案例，为AI系统安全集成外部工具提供了实用指南。 综合评分： 87 文章分类： AI安全,安全工具,漏洞分析,安全建设,解决方案

第三方MCP服务器安全使用指南：风险与应对措施

原创

DIMU

AI简化安全

2025年12月16日 06:06 广东

【内容概述】本文主要阐述调用第三方MCP服务存在的三类风险和四项应对方式，并开发了一套MCP安全性检测工具，基于该工具对一个天气MCP服务器开展安全检测并输出报告。

一、引言

随着大模型与 AI Agent 能力的快速演进，模型已经不再只是“生成文本的工具”，而是逐步具备了调用外部工具、访问系统资源、执行真实操作的能力。

Model Context Protocol（MCP）正是在这一背景下出现的一项关键协议。通过 MCP，AI 系统可以以标准化方式访问外部工具与资源，从而显著扩展模型能力。

然而，能力的扩展也意味着攻击面的同步扩大。

当组织开始引入第三方 MCP 服务器时，模型的行为不再完全受自身控制，而是与外部工具、远程服务以及第三方代码形成了复杂耦合关系。

OWASP GenAI Security Project 在其指南中指出：MCP 带来的风险，并非传统 API 风险的简单叠加，而是一类“模型 × 工具 × 权限”的复合型安全风险。

本文将从工程实践角度，系统梳理第三方 MCP 服务器的核心安全风险，并结合已公开的真实安全事件，分析其现实影响与应对思路。

二、什么是 MCP 服务器

MCP（Model Context Protocol）是一种用于连接 AI 模型与外部工具的协议。

MCP 服务器通过统一接口向模型暴露工具能力，例如文件操作、数据库查询、API 调用和自动化任务执行等。

从部署形态上看，MCP 服务器通常存在两种模式：

图：本地运行模式

图：远程运行模式

| | | | | — | — | — | | 运行模式 | 特点 | 主要风险关注点 | | 本地运行模式 | MCP Server 作为本地进程运行，通过标准输入输出与客户端通信 | 本地系统权限、文件访问、进程隔离 | | 远程运行模式 | MCP Client 通过 HTTP 或流式协议连接远程服务器 | 身份认证、工具可信度、远程变更风险 |

需要明确的是：MCP 本身并不“危险”，真正的风险在于模型被赋予了对现实世界产生实质影响的能力。

三、核心安全风险与应对措施

3.1 工具投毒与提示注入风险

在 2025 年第二季度，安全研究人员披露了一起针对GPT-4.1 工具调用机制的攻击案例。攻击者在 MCP 工具描述中嵌入了隐藏指令，使模型在调用工具时，在用户不知情的情况下执行了额外的敏感操作，包括访问并外传本不应暴露的数据。

该事件表明：模型在工具调用时高度信任工具元数据，一旦工具描述被污染，模型几乎无法自主判断其行为是否越权。

现实启示：工具描述本身就是安全边界的一部分，仅依赖“工具看起来合法”是远远不够的。

3.2 内存投毒风险

截至目前，尚未出现大规模公开披露的“MCP 内存投毒”单一事件，但在多起Prompt Injection 与上下文操控研究中，已经验证：

模型会将外部上下文内容视为可信事实

被污染的上下文可能在多轮对话中持续生效

长期记忆一旦被写入错误信息，修复成本极高

OWASP 明确指出，这类风险往往不是一次性破坏，而是长期、隐蔽地影响模型行为。

现实启示：相比一次错误的工具调用，长期记忆被污染带来的风险更隐蔽、也更难治理。

3.3 工具干扰风险

在安全社区和研究讨论中，研究人员已经验证：在多 MCP Server 并行运行的环境下，一个恶意工具可以通过调用链影响其他工具的执行结果，从而形成隐蔽的数据流转路径。

虽然此类问题更多以研究与验证形式被披露，但它清楚地表明：工具干扰不是理论问题，而是一种在复杂 Agent 系统中真实存在的攻击模式。

3.4 其他关键风险与现实警示

英国国家网络安全中心在 2025 年发布报告指出：Prompt Injection 攻击在本质上可能无法被彻底消除，因此组织不应假设“未来模型更聪明就能自动解决这些问题”。

现实启示：Prompt Injection 与工具滥用并非传统漏洞，而是模型工作机制本身带来的系统性风险。

四、可落地的安全控制措施

4.1 认证与授权控制

4.2 MCP 客户端沙箱化

4.3 安全的 MCP Server 发现机制

4.4 MCP 治理流程

五、总结

第三方 MCP 服务器能够极大增强 AI 系统能力，但同时也引入了新的系统性风险。

从已发生和已验证的安全事件可以看到，真正的问题并不在于某一个工具或某一次调用，而在于：

• 模型是否被允许自由地使用工具
• 工具是否在明确受控的权限边界内运行
• 当出现异常时，系统是否具备发现和止损能力

不要让模型自由地使用工具，而要让模型在被严格约束的情况下使用工具。

附：

对一个天气服务器的检测报告（基于自研检测工具）：

# MCP Weather Server 安全检查报告## 服务器信息- **服务器名称**: mcp-weather-server- **版本**: 1.0.0- **作者**: @TimLukaHorstmann- **GitHub仓库**: https://github.com/TimLukaHorstmann/mcp-weather- **检查时间**: 2025-12-15T19:28:32.410023- **风险评分**: 37.5/100 (中等风险)## 服务器描述这是一个提供每小时和每日天气预报的MCP服务器，使用AccuWeather API。该服务器允许大型语言模型（如Claude）访问实时天气数据。## 配置信息### 部署方式- **命令**: npx- **包名**: @timlukahorstmann/mcp-weather- **环境变量**: ACCUWEATHER_API_KEY (必需)### 工具列表1. **weather-get_hourly**   - 功能: 获取每小时天气预报   - 必需参数:     - `location`: 城市或位置名称     - `sessionId`: 用户会话的唯一标识符## 安全检查结果### 总体评估**风险等级**: 🟡 中等风险该服务器整体安全性较好，但存在一些需要注意的安全问题。建议在部署前解决这些问题。### 问题摘要- **严重 (Critical)**: 0- **高 (High)**: 1- **中 (Medium)**: 0- **低 (Low)**: 0- **信息 (Info)**: 1### 详细问题列表#### 1. [HIGH] 服务器发现 - 注册表 "mcp.so" 不在可信列表中**问题描述**:  注册表 "mcp.so" 不在可信列表中**位置**: `source.registry`**影响**:  使用未经验证的注册表可能带来安全风险，因为无法确认服务器的来源和完整性。**修复建议**:  1. 将 mcp.so 添加到可信注册表列表（如果确认其可信）2. 或者使用其他可信的MCP服务器注册表3. 建立内部可信MCP注册表，对第三方注册表进行审查**风险评估**:  - 如果 mcp.so 是官方或可信的注册表，此问题可以忽略- 如果是未知来源的注册表，建议进行更严格的审查#### 2. [INFO] 认证授权 - 未明确指定权限范围**问题描述**:  未明确指定权限范围**位置**: `authentication.permissions`**影响**:  虽然不影响功能，但明确指定权限范围有助于遵循最小权限原则，提高安全性。**修复建议**:  1. 在配置中明确指定服务器需要的权限范围2. 遵循最小权限原则，仅请求必要的权限3. 例如：仅请求读取天气数据的权限，不请求写入权限**风险评估**:  这是一个信息性问题，不会造成直接的安全威胁，但建议改进以提高安全最佳实践。## 安全检查项详情### ✅ 通过的安全检查1. **工具投毒检测** - ✅ 通过   - 工具名称和描述中未发现危险代码模式   - 工具描述清晰、中性，无恶意指令2. **提示注入检测** - ✅ 通过   - 未发现提示模板   - 工具描述中无注入模式3. **服务器来源验证** - ⚠️ 部分通过   - GitHub URL有效且使用HTTPS   - 注册表需要添加到可信列表4. **认证授权检查** - ⚠️ 部分通过   - 使用api_key认证（合理）   - 需要明确权限范围5. **工具干扰检测** - ✅ 通过   - 工具数量合理（仅1个工具）   - 无工具冲突风险6. **资源安全检查** - ✅ 通过   - 未配置资源，无资源安全风险7. **依赖项安全检查** - ✅ 通过   - 依赖项为官方SDK，无已知安全问题8. **权限配置检查** - ✅ 通过   - 权限配置合理，未请求过度权限## 安全建议### 立即行动项1. **验证注册表可信性**   - 确认 mcp.so 是否为官方或可信的注册表   - 如果可信，将其添加到检查器配置的 `trusted_registries` 列表中2. **明确权限范围**   - 在配置文件中明确指定服务器需要的权限   - 例如：`"permissions": ["read:weather_data"]`### 最佳实践建议1. **API密钥管理**   - 确保 ACCUWEATHER_API_KEY 安全存储   - 使用环境变量或密钥管理服务   - 不要将API密钥提交到版本控制系统2. **监控和日志**   - 记录API调用日志   - 监控异常使用模式   - 设置API调用频率限制3. **输入验证**   - 验证 location 参数的有效性   - 防止注入攻击   - 限制输入长度和格式4. **错误处理**   - 妥善处理API错误   - 不要泄露敏感信息（如API密钥）在错误消息中5. **定期更新**   - 定期更新依赖项   - 关注安全公告   - 及时应用安全补丁## 部署建议### 推荐配置```json{  "mcpServers": {    "mcp-weather-server": {      "command": "npx",      "args": [        "-y",        "@timlukahorstmann/mcp-weather"      ],      "env": {        "ACCUWEATHER_API_KEY": "required"      }    }  }}```### 安全配置建议1. **使用环境变量**   - 从环境变量读取API密钥，不要硬编码2. **限制网络访问**   - 如果可能，限制服务器只能访问AccuWeather API端点3. **实施速率限制**   - 限制API调用频率，防止滥用4. **监控和告警**   - 设置监控和告警机制   - 检测异常使用模式## 结论MCP Weather Server 是一个功能明确、设计合理的MCP服务器。主要的安全问题集中在注册表验证和权限范围明确性上，这些问题相对容易解决。**总体评价**: - 代码质量: ⭐⭐⭐⭐ (4/5)- 安全性: ⭐⭐⭐ (3/5)- 可用性: ⭐⭐⭐⭐⭐ (5/5)**建议**: 在解决注册表验证问题并明确权限范围后，该服务器可以安全使用。建议在测试环境中充分测试后再部署到生产环境。## 附录### 相关链接- GitHub仓库: https://github.com/TimLukaHorstmann/mcp-weather- MCP.so页面: https://mcp.so/server/timlukahorstmann-mcp-weather/TimLukaHorstmann- AccuWeather API: https://developer.accuweather.com/### 检查工具信息- 检查工具版本: 1.0.0- 检查配置: checker_config.json- 报告生成时间: 2025-12-15T19:28:32.410023---**报告生成**: MCP服务器安全检查工具  **基于**: OWASP GenAI Security Project 安全指南

参考资料

1、OWASP GenAI Security Project

2、A Practical Guide for Securely Using Third-Party MCP Servers 1.0

3、Model Context Protocol（MCP）Specification

查看原文：《第三方MCP服务器安全使用指南：风险与应对措施》