数千台MCP服务器被发现存在文件访问和注入攻击漏洞

admin 2026-07-14 06:05:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 对9695个MCP服务器的大规模分析发现5832个存在安全问题,包括任意文件访问、命令注入、SSRF、SQL注入等漏洞。研究指出受欢迎程度、代码活跃度和验证徽章等常用可信指标与安全性无显著相关,高人气服务器反而风险更大。组织应放弃信任假设,采用零信任方法,进行代码审计、强制身份验证和输入验证,以防范AI供应链系统性风险。 综合评分: 88 文章分类: 漏洞分析,供应链安全,web安全,威胁情报,安全建设


cover_image

数千台MCP服务器被发现存在文件访问和注入攻击漏洞

原创

ZM ZM

暗镜

2026年7月12日 08:00 美国

在小说阅读器读本章

去阅读

数千台广泛用于将大型语言模型 (LLM) 连接到外部系统的模型上下文协议 (MCP) 服务器被发现存在严重的安全漏洞,包括任意文件访问、命令注入、服务器端请求伪造 (SSRF)和 SQL 注入,这引发了人们对人工智能供应链安全性的严重担忧。对 GitHub、Glama、Lobehub 和 PulseMCP 等热门目录中的 9,695 个 MCP 服务器进行的大规模分析表明,像受欢迎程度、存储库活动和验证徽章这样的常用可信指标并不能可靠地反映安全状况,随着采用速度的加快,这将使组织面临系统性风险。

该研究发现了 5,832 台存在安全问题的服务器,其中 2,259 台被证实存在除简单身份验证漏洞之外的可利用漏洞。

总共记录了 4,982 个不同的安全问题,包括 880 起任意文件访问案例、476 起命令注入漏洞、422 起 SSRF 漏洞、211 起 SQL 注入问题和 490 起拒绝服务漏洞。其他发现包括跨站脚本攻击(155 例)、授权绕过以及 185 例被归类为恶意行为的提示注入攻击。值得注意的是,有 2054 台服务器缺少身份验证机制,虽然这些漏洞本身并未被单独标记,但当它们与其他漏洞叠加时,会显著加剧其影响。

| 安全问题 | 类别 | 问题数量 | | — | — | — | | 代码注入 | 天生脆弱 | 101 | | 未认证 | 天生脆弱 | 2,054 | | 命令注入 | 漏洞 | 476 | | 任意文件访问 | 漏洞 | 880 | | SSRF | 漏洞 | 422 | | 拒绝服务 | 漏洞 | 490 | | 跨站脚本攻击 | 漏洞 | 155 | | SQL注入 | 漏洞 | 211 | | 绕过授权 | 漏洞 | 8 | | 立即注射 | 恶意行为 | 185 |

MCP 服务器是 AI 代理与敏感资源(例如文件系统、数据库、API 和云环境)之间的关键桥梁,使“代理工作流”能够执行代码并自动化任务。然而,这种特权访问也扩大了攻击面。

该研究发现,漏洞经常同时出现,例如任意文件访问与缺少身份验证相结合的模式,凸显了输入验证和安全设计实践中的系统性缺陷,而不是孤立的编码错误。

与普遍认知相反,分析表明服务器的受欢迎程度与其安全性之间并无显著相关性。高人气服务器(GitHub 星标数超过 50)往往风险最大,因为它们被广泛采用,从而扩大了单个漏洞的影响范围。服务器通常存在与功能丰富的集成相关的 SSRF、提示符注入和文件访问漏洞。中等规模的服务器(10-49 星)在数量上占据主导地位,并且漏洞种类最为多样;而低知名度和无星的仓库(通常是实验性的或私有的)尽管可见性有限,但仍然存在命令执行漏洞等严重问题。

同样,以提交历史衡量的代码库活跃度也未能表明安全性有所提高。提交次数超过 100 次的高活跃度项目,其漏洞率与低活跃度项目相当,这表明开发复杂性的增加会引入更多攻击途径,但未必能提升防御控制措施。

即使 MCP 目录实施了验证机制,包括代码检查工具和所有权验证,也没有显著降低风险,因为经过验证的服务器与未经验证的服务器的平均漏洞数量几乎相同。

Trend AI Security 的这项研究还重点指出了多个领域中存在的实际风险场景。在专注于加密货币和 DeFi 的 MCP 服务器中,研究人员发现了服务器端模板注入漏洞,这些漏洞可以实现远程代码执行;此外,研究人员还发现了提示注入缺陷,这些缺陷可以操纵 AI 代理的行为。

在企业环境中,专为数据库连接而设计的 MCP 服务器暴露了 SQL 注入漏洞和未经身份验证的 Active Directory 查询,这可能会使攻击者能够通过 AI 系统处理的自然语言查询来执行侦察或提升权限。

一项尤其令人担忧的发现是“严重性加权影响范围”的出现,即部署广泛的、存在多个漏洞的高流量服务器会构成不成比例的系统性风险。暴露大量 MCP 工具的服务器会进一步扩大攻击面,使漏洞利用在依赖共享 AI 基础设施的组织中更具可扩展性和破坏性。这项研究凸显了一个更广泛的行业问题:MCP 生态系统中缺乏一致的输入验证和安全开发实践。大多数漏洞被归类为开发人员引入的缺陷,而非故意的恶意行为。然而,在 LLM 集成环境中,快速注入仍然是一个新兴的威胁载体。安全专家警告说,组织在集成第三方 MCP 服务器时必须放弃基于信任的假设,并采用零信任方法。包括进行代码审计、强制执行身份验证和最小权限原则、验证所有输入,以及实施实时流量检测以发现异常行为。随着 MCP 继续支撑人工智能驱动的自动化发展,研究结果强调,安全性必须与功能同步发展,以防止互联人工智能系统遭到大规模攻击。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《数千台MCP服务器被发现存在文件访问和注入攻击漏洞》

原创—某AIxss漏洞 网络安全文章

原创—某AIxss漏洞

文章总结: 本文分析了一个AI系统中的XSS漏洞,提供了技术细节和演示链接,强调仅供技术研究,严禁非法攻击。 综合评分: 65 文章分类: 漏洞分析,AI安全,
评论:0   参与:  0