文章总结: 近期全网出现针对AI资产的大规模无差别扫描,AI类侦察已成第二大攻击流量。攻击者利用合规MCP协议握手、探测AI配置文件、大模型接口及云元数据SSRF漏洞猎捕敏感资产。建议企业通过WAF拦截恶意请求、强制接口鉴权、加固云环境与容器权限,并常态化巡检日志以防范风险。 综合评分: 85 文章分类: 威胁情报,AI安全,漏洞预警,WEB安全,云安全
全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕
看雪学苑 看雪学苑
看雪学苑
2026年7月14日 17:59 上海
在小说阅读器读本章
去阅读
近期安全厂商Internet Storm Center监测到一场覆盖全网的广谱扫描行动,所有公网Web服务都在被批量探测,大量开发者无意间暴露的AI相关资产,正在被黑客批量标记、搜集,风险直接拉满。
14天监测数据实锤:AI类侦察扫描已成第二大攻击流量
安全人员调取一台小型网站主机连续14天完整访问日志,统计出两类侦察行为:传统云应用探测、全新AI/MCP专属扫描,数据反差极具警示性:
- 传统扫描峰值:Spring Boot actuator探测324次,来自30个IP,仍是老牌高危探测;
- AI新型侦察合计近200次扫描请求,覆盖7大类AI资产探测,其中MCP协议握手探测55次,溯源49个独立扫描IP,是所有AI探测里来源IP最多的攻击行为。
除此之外,攻击者还在批量扫描LLM模型接口、Claude等AI助手密钥配置文件、MCP项目配置、K8s服务账号令牌、谷歌云元数据SSRF漏洞。
💡 关键风险点高亮:本次扫描并非定向攻击某家企业,属于无差别全网地毯式探测,哪怕业务没有部署AI服务,也会收到大量探测请求。
扫描核心突破口:MCP协议探测,绝非简单路径扫描
本次攻击最特殊的技术特征,区别于普通弱扫描器:黑客并非简单访问/mcp路径验证页面是否存在,而是发送完整合规的MCP标准JSON-RPC初始化握手报文。
流程如下:
扫描器任意公网IP发起POST /mcp请求,携带规范协议版本2025-03-26完成完整握手交互;若服务器存在暴露的MCP服务并返回正常应答,攻击者即可确认目标存在高危漏洞。
MCP(Model Context Protocol)是当下AI助手、开发工具通用交互协议,暴露在外无认证防护会造成毁灭性后果:
-
黑客可枚举AI代理拥有的全部工具、数据库、内网API、文件读写权限;
-
外部人员直接读取、操作企业内部业务数据、工单系统、本地文件;
-
完整摸清内网资产拓扑,作为内网横向渗透跳板。
且扫描流量分散在数十个不同IP,属于分布式批量扫描,绝非安全研究员测试,具备明确规模化狩猎意图。
黑客同步搜刮AI密钥与配置文件,一行代码失误直接泄露凭证
扫描器附带大量轻量探测请求,专门检索开发者极易误上传至公网的配置文件,无需完整下载文件,仅通过路径存在性快速判断资产价值,高危文件IoC清单:
-
Claude相关:.claudemcp.json、.claude.credentials.json本地密钥文件;
-
代码编辑器MCP配置:Cursor、VSCode专用
.cursormcp.json、.vscodemcp.json; -
通用MCP项目配置:
.mcpconfig.json项目文件;
一旦上述文件被放置在网站可访问目录,攻击者可直接读取AI服务连接密钥、内网接口地址、账号凭证,接管AI代理权限。
开源大模型接口、SSRF云元数据漏洞同步被批量探测
1. LLM公网接口扫描
攻击者持续探测Ollama、OpenAI兼容接口/v1/models、/api/tags,未做鉴权的大模型接口会被滥用算力,同时泄露内部模型清单,成为渗透入口。
2. 云服务器SSRF漏洞猎捕
扫描内置大量针对谷歌云元数据服务metadata.google.internal、链路本地地址169.254.169.254的SSRF载荷,利用AI工具自带网页拉取功能,窃取云主机高权限令牌;同时同步扫描K8s serviceaccount令牌路径,窃取容器集群权限。
企业&开发者落地防护方案(可直接落地执行)
1. 针对MCP服务防护
-
未部署MCP:防火墙、WAF直接拦截
POST /mcp、GET /sse相关全部请求,标记为恶意侦察流量; -
业务必须使用MCP:禁止公网直连,增加强身份认证、IP白名单限制,关闭外网无授权访问通道。
2. AI配置文件防护
全站Web服务做路径拦截,禁止对外暴露.json后缀AI密钥、MCP配置文件;上线前检查打包目录,剔除本地开发配置。
3. LLM模型接口加固
公网大模型服务强制开启鉴权令牌,禁止无验证开放模型查询接口,限制访问源IP。
4. SSRF与云环境加固
-
限制AI工具网页抓取能力,拦截内网、云元数据域名/IP访问;
-
GCP、AWS分别开启元数据防护:GCP强制校验防护请求头、AWS升级至IMDSv2;
-
容器环境收紧serviceaccount令牌访问权限,禁止Web程序读取集群凭证路径。
5. 日志巡检常态化
定期检索Apache、ModSecurity、WAF访问日志,排查MCP握手、AI配置文件探测异常请求,提前定位暴露资产。
资讯来源:Cyber Security News (CSN) / SANS Internet Storm Center
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论