全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕

admin 2026-07-15 04:56:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 近期全网出现针对AI资产的大规模无差别扫描,AI类侦察已成第二大攻击流量。攻击者利用合规MCP协议握手、探测AI配置文件、大模型接口及云元数据SSRF漏洞猎捕敏感资产。建议企业通过WAF拦截恶意请求、强制接口鉴权、加固云环境与容器权限,并常态化巡检日志以防范风险。 综合评分: 85 文章分类: 威胁情报,AI安全,漏洞预警,WEB安全,云安全


cover_image

全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕

看雪学苑 看雪学苑

看雪学苑

2026年7月14日 17:59 上海

在小说阅读器读本章

去阅读

近期安全厂商Internet Storm Center监测到一场覆盖全网的广谱扫描行动,所有公网Web服务都在被批量探测,大量开发者无意间暴露的AI相关资产,正在被黑客批量标记、搜集,风险直接拉满。

14天监测数据实锤:AI类侦察扫描已成第二大攻击流量

安全人员调取一台小型网站主机连续14天完整访问日志,统计出两类侦察行为:传统云应用探测、全新AI/MCP专属扫描,数据反差极具警示性:

  • 传统扫描峰值:Spring Boot actuator探测324次,来自30个IP,仍是老牌高危探测;
  • AI新型侦察合计近200次扫描请求,覆盖7大类AI资产探测,其中MCP协议握手探测55次,溯源49个独立扫描IP,是所有AI探测里来源IP最多的攻击行为。

除此之外,攻击者还在批量扫描LLM模型接口、Claude等AI助手密钥配置文件、MCP项目配置、K8s服务账号令牌、谷歌云元数据SSRF漏洞。

💡 关键风险点高亮:本次扫描并非定向攻击某家企业,属于无差别全网地毯式探测,哪怕业务没有部署AI服务,也会收到大量探测请求。

扫描核心突破口:MCP协议探测,绝非简单路径扫描

本次攻击最特殊的技术特征,区别于普通弱扫描器:黑客并非简单访问/mcp路径验证页面是否存在,而是发送完整合规的MCP标准JSON-RPC初始化握手报文。

流程如下:

扫描器任意公网IP发起POST /mcp请求,携带规范协议版本2025-03-26完成完整握手交互;若服务器存在暴露的MCP服务并返回正常应答,攻击者即可确认目标存在高危漏洞。

MCP(Model Context Protocol)是当下AI助手、开发工具通用交互协议,暴露在外无认证防护会造成毁灭性后果:

  1. 黑客可枚举AI代理拥有的全部工具、数据库、内网API、文件读写权限;

  2. 外部人员直接读取、操作企业内部业务数据、工单系统、本地文件;

  3. 完整摸清内网资产拓扑,作为内网横向渗透跳板。

且扫描流量分散在数十个不同IP,属于分布式批量扫描,绝非安全研究员测试,具备明确规模化狩猎意图。

黑客同步搜刮AI密钥与配置文件,一行代码失误直接泄露凭证

扫描器附带大量轻量探测请求,专门检索开发者极易误上传至公网的配置文件,无需完整下载文件,仅通过路径存在性快速判断资产价值,高危文件IoC清单:

  1. Claude相关:.claudemcp.json、.claude.credentials.json本地密钥文件;

  2. 代码编辑器MCP配置:Cursor、VSCode专用.cursormcp.json.vscodemcp.json

  3. 通用MCP项目配置:.mcpconfig.json项目文件;

一旦上述文件被放置在网站可访问目录,攻击者可直接读取AI服务连接密钥、内网接口地址、账号凭证,接管AI代理权限。

开源大模型接口、SSRF云元数据漏洞同步被批量探测

1. LLM公网接口扫描

攻击者持续探测Ollama、OpenAI兼容接口/v1/models/api/tags,未做鉴权的大模型接口会被滥用算力,同时泄露内部模型清单,成为渗透入口。

2. 云服务器SSRF漏洞猎捕

扫描内置大量针对谷歌云元数据服务metadata.google.internal、链路本地地址169.254.169.254的SSRF载荷,利用AI工具自带网页拉取功能,窃取云主机高权限令牌;同时同步扫描K8s serviceaccount令牌路径,窃取容器集群权限。

企业&开发者落地防护方案(可直接落地执行)

1. 针对MCP服务防护

  • 未部署MCP:防火墙、WAF直接拦截POST /mcpGET /sse相关全部请求,标记为恶意侦察流量;

  • 业务必须使用MCP:禁止公网直连,增加强身份认证、IP白名单限制,关闭外网无授权访问通道。

2. AI配置文件防护

全站Web服务做路径拦截,禁止对外暴露.json后缀AI密钥、MCP配置文件;上线前检查打包目录,剔除本地开发配置。

3. LLM模型接口加固

公网大模型服务强制开启鉴权令牌,禁止无验证开放模型查询接口,限制访问源IP。

4. SSRF与云环境加固

  • 限制AI工具网页抓取能力,拦截内网、云元数据域名/IP访问;

  • GCP、AWS分别开启元数据防护:GCP强制校验防护请求头、AWS升级至IMDSv2;

  • 容器环境收紧serviceaccount令牌访问权限,禁止Web程序读取集群凭证路径。

5. 日志巡检常态化

定期检索Apache、ModSecurity、WAF访问日志,排查MCP握手、AI配置文件探测异常请求,提前定位暴露资产。

资讯来源:Cyber Security News (CSN) / SANS Internet Storm Center

球分享

球点赞

球在看


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕》

评论:0   参与:  0