攻击者全网扫描MCP服务器与Claude凭据,AI系统面临数据泄露风险

admin 2026-07-15 05:06:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全专家发现攻击者正在全网扫描MCP服务器、AI助手配置文件及暴露的本地模型服务,使用有效MCP初始化请求进行探测,旨在发现配置失误。暴露的MCP服务器可能让攻击者访问数据库、API等资源,导致数据泄露。建议组织审查访问日志、加强身份验证并限制网络访问,同时检查AI相关配置文件是否被公开提供。 综合评分: 84 文章分类: 威胁情报,漏洞分析,安全意识,安全运营,数据泄露


cover_image

攻击者全网扫描MCP服务器与Claude凭据,AI系统面临数据泄露风险

FreeBuf

2026年7月14日 18:00 上海

在小说阅读器读本章

去阅读

面向互联网的AI系统正成为机会主义攻击者的新目标。安全专家发现,威胁行为者正在积极搜索Model Context Protocol(MCP,模型上下文协议)服务器、AI助手配置文件以及暴露在外的本地语言模型服务。

这一活动发生在流量较低的网站上,这些网站似乎并未托管AI基础设施。这一点之所以重要,是因为它表明这是一次广泛的侦察行动,而不是针对特定组织或开发者的定向入侵。

互联网风暴中心(Internet Storm Center)的分析师在审查一个小型网络托管商两周的Apache和ModSecurity日志时发现了这一活动。研究人员共发现约200次与AI Agent侦察相关的请求,其中MCP握手探测请求来自49个不同的源IP地址。

互联网风暴中心在与Cyber Security News(CSN)分享的报告中指出,这些扫描反映出AI部署领域日益严重的安全问题。开发者可能在不经意间暴露MCP服务、将助手设置留在公共Web目录中,或让本地模型可从互联网访问,而攻击者已经在寻找这些配置失误。

Part01

攻击者进行全文扫描

此次活动最值得注意的部分是使用了有效的MCP初始化请求,而非简单的路径检查。扫描器并不是简单地询问某个Web地址是否存在然后继续下一步,而是发送了格式正确的JSON-RPC消息,旨在启动MCP对话。

这种攻击方式使攻击者能够判断某个可达服务是否表现得像MCP服务器。如果服务器响应,下一阶段可能涉及识别可用的工具、连接的数据源以及AI Agent有权执行的操作。

MCP服务器可以让AI Agent访问数据库、内部API、文件系统、工单系统以及其他业务资源。当MCP服务器暴露在外且未使用身份验证时,实质上为外部人员提供了一份机器可读的服务和数据地图,显示了Agent能够访问的资源。

这些探测的广泛分布也表明这是一场更大规模的行动。

请求来自许多不同的IP地址,这使得活动看起来不像学术测试,而更像分布式全网扫描,旨在大规模发现存在漏洞的部署。

组织应审查访问日志中可疑的MCP流量。不使用MCP的系统应将此类请求视为有用的侦察信号,并在适当位置予以阻止。

确实运行MCP服务器的组织应确认其要求强身份验证,并且除非严格必要,否则不得直接从公共互联网访问。限制网络访问还能降低扫描器首先发现服务的可能性。

Part02

凭据与模型面临风险

同一扫描活动还搜索与AI编码助手相关的文件,包括开发者可能无意中放在已部署Web目录中的设置文件和凭据文件。这些文件可能包含连接细节、服务设置以及可能具有价值的密钥。

使用轻量级存在性检查来探测凭据相关文件,表明操作者正在针对大量目标优化扫描。他们并非下载每个可能的文件,而是首先检查潜在有用资源是否存在。

研究人员还观察到重复尝试定位未经过身份验证的模型服务接口。一个公开可访问的模型端点可能让攻击者免费使用计算资源、了解已安装的模型,或成为在环境中进行进一步活动的立足点。

这些扫描还伴随有尝试滥用服务器端请求伪造(SSRF)来攻击云元数据服务的行为。这种技术对AI工具尤其相关,因为Agent和辅助服务通常包含从用户提供的Web地址获取内容的功能。

防御者应从外部网络检查面向公众的系统,确保AI相关配置文件不被Web服务器提供,并审查URL获取功能,确保其具备针对内部和云元数据目的地的保护措施。云环境还应尽可能启用元数据服务保护,包括GCP头部强制和AWS IMDSv2。

入侵指标(IoCs):

注意:IP地址和域名已进行去毒化处理(例如_[.]_),以防止意外解析或超链接。仅在受控的威胁情报平台(如MISP、VirusTotal或SIEM)中进行还原。

参考来源:

Internet-Wide Scans Target MCP Servers, Claude Credentials, and Exposed AI Models

Internet-Wide Scans Target MCP Servers, Claude Credentials, and Exposed AI Models

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《攻击者全网扫描MCP服务器与Claude凭据,AI系统面临数据泄露风险》

评论:0   参与:  0