文章总结: 安全专家发现攻击者正在全网扫描MCP服务器、AI助手配置文件及暴露的本地模型服务,使用有效MCP初始化请求进行探测,旨在发现配置失误。暴露的MCP服务器可能让攻击者访问数据库、API等资源,导致数据泄露。建议组织审查访问日志、加强身份验证并限制网络访问,同时检查AI相关配置文件是否被公开提供。 综合评分: 84 文章分类: 威胁情报,漏洞分析,安全意识,安全运营,数据泄露
攻击者全网扫描MCP服务器与Claude凭据,AI系统面临数据泄露风险
FreeBuf
2026年7月14日 18:00 上海
在小说阅读器读本章
去阅读
面向互联网的AI系统正成为机会主义攻击者的新目标。安全专家发现,威胁行为者正在积极搜索Model Context Protocol(MCP,模型上下文协议)服务器、AI助手配置文件以及暴露在外的本地语言模型服务。
这一活动发生在流量较低的网站上,这些网站似乎并未托管AI基础设施。这一点之所以重要,是因为它表明这是一次广泛的侦察行动,而不是针对特定组织或开发者的定向入侵。
互联网风暴中心(Internet Storm Center)的分析师在审查一个小型网络托管商两周的Apache和ModSecurity日志时发现了这一活动。研究人员共发现约200次与AI Agent侦察相关的请求,其中MCP握手探测请求来自49个不同的源IP地址。
互联网风暴中心在与Cyber Security News(CSN)分享的报告中指出,这些扫描反映出AI部署领域日益严重的安全问题。开发者可能在不经意间暴露MCP服务、将助手设置留在公共Web目录中,或让本地模型可从互联网访问,而攻击者已经在寻找这些配置失误。
Part01
攻击者进行全文扫描
此次活动最值得注意的部分是使用了有效的MCP初始化请求,而非简单的路径检查。扫描器并不是简单地询问某个Web地址是否存在然后继续下一步,而是发送了格式正确的JSON-RPC消息,旨在启动MCP对话。
这种攻击方式使攻击者能够判断某个可达服务是否表现得像MCP服务器。如果服务器响应,下一阶段可能涉及识别可用的工具、连接的数据源以及AI Agent有权执行的操作。
MCP服务器可以让AI Agent访问数据库、内部API、文件系统、工单系统以及其他业务资源。当MCP服务器暴露在外且未使用身份验证时,实质上为外部人员提供了一份机器可读的服务和数据地图,显示了Agent能够访问的资源。
这些探测的广泛分布也表明这是一场更大规模的行动。
请求来自许多不同的IP地址,这使得活动看起来不像学术测试,而更像分布式全网扫描,旨在大规模发现存在漏洞的部署。
组织应审查访问日志中可疑的MCP流量。不使用MCP的系统应将此类请求视为有用的侦察信号,并在适当位置予以阻止。
确实运行MCP服务器的组织应确认其要求强身份验证,并且除非严格必要,否则不得直接从公共互联网访问。限制网络访问还能降低扫描器首先发现服务的可能性。
Part02
凭据与模型面临风险
同一扫描活动还搜索与AI编码助手相关的文件,包括开发者可能无意中放在已部署Web目录中的设置文件和凭据文件。这些文件可能包含连接细节、服务设置以及可能具有价值的密钥。
使用轻量级存在性检查来探测凭据相关文件,表明操作者正在针对大量目标优化扫描。他们并非下载每个可能的文件,而是首先检查潜在有用资源是否存在。
研究人员还观察到重复尝试定位未经过身份验证的模型服务接口。一个公开可访问的模型端点可能让攻击者免费使用计算资源、了解已安装的模型,或成为在环境中进行进一步活动的立足点。
这些扫描还伴随有尝试滥用服务器端请求伪造(SSRF)来攻击云元数据服务的行为。这种技术对AI工具尤其相关,因为Agent和辅助服务通常包含从用户提供的Web地址获取内容的功能。
防御者应从外部网络检查面向公众的系统,确保AI相关配置文件不被Web服务器提供,并审查URL获取功能,确保其具备针对内部和云元数据目的地的保护措施。云环境还应尽可能启用元数据服务保护,包括GCP头部强制和AWS IMDSv2。
入侵指标(IoCs):
注意:IP地址和域名已进行去毒化处理(例如_[.]_),以防止意外解析或超链接。仅在受控的威胁情报平台(如MISP、VirusTotal或SIEM)中进行还原。
参考来源:
Internet-Wide Scans Target MCP Servers, Claude Credentials, and Exposed AI Models
Internet-Wide Scans Target MCP Servers, Claude Credentials, and Exposed AI Models
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《攻击者全网扫描MCP服务器与Claude凭据,AI系统面临数据泄露风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论