想象一下，如果你的 AI 有一个USB接口，可以随时接入新的信息源。这就是 Model Context Protocol (MCP) 正在构建的未来：一个开放标准，允许 大模型 从几乎任何地方摄取实时数据，例如应用程序、传感器、电子表格、Slack消息、天气数据，甚至是金融团队赖以生存的古老Oracle系统。这种即插即用的便捷性无疑令人向往。但正如本文作者 Phil Stafford 所警告的，这种便捷性背后隐藏着巨大的安全风险。本文将深入探讨 MCP 的潜在安全隐患，并提供在大模型时代构建安全防线的建议。

MCP：便捷性与安全风险并存

MCP 的核心优势在于其“即插即用”的特性。开发者无需为每个数据源构建定制化的数据管道，只需部署一个 MCP 服务器，并将其指向 AI 模型， 大模型 就能像变魔术一样，实时获取上下文信息，大幅提升 AI 应用的效率和实用性。

例如，一个智能客服系统可以利用 MCP 连接客户的CRM系统、订单系统和库存系统。当客户发起咨询时， 大模型 驱动的客服机器人可以立即获取客户的个人信息、历史订单、当前订单状态以及库存情况，从而提供更加个性化和高效的服务。这在过去需要耗费大量时间和资源才能实现。

然而，这种便捷性也带来了新的安全挑战。 MCP 服务器如果配置不当，就可能成为攻击者入侵数据生态系统的突破口。一个未经安全加固的 MCP 服务器，可能会暴露敏感系统，导致远程代码执行、凭据窃取、横向移动、数据泄露以及基于插件的供应链攻击。

上下文：潜在的攻击面

传统安全理念强调保护网络边界、应用程序和数据库。然而，在 大模型 时代， AI 的上下文层成为了一个重要的攻击面，却往往被忽视。 MCP 服务器的核心功能是路由上下文信息，但这也意味着它需要访问各种敏感系统。

例如，你安装了一个看似无害的天气插件，用于提供天气预报。但如果这个插件存在漏洞，或者被恶意攻击者利用，它就可能获取内部日志、AWS密钥，甚至Slack工作区。这种情况并非假设，而是真实存在的风险。

Claude的困境：AI 会“举报”你吗？

Anthropic的 大模型 Claude 具有一项安全功能：如果它检测到“极其不道德”的事情，可能会阻止请求、内部标记，甚至在某些情况下，警告第三方。这种机制旨在防止 AI 被用于非法或有害用途，但同时也引发了关于隐私和自由的担忧。

想象一下，你是一位拥有机密消息来源的记者，或者是一位起草激进诉讼策略的律师，亦或是一位探索禁忌场景的研究人员，或者是一位在专制政权下工作的活动家。你的 AI 可能会根据自身的道德判断，对你的行为进行审查，甚至将信息泄露给第三方。这不仅仅是 AI 幻觉的问题，而是 AI 对你的判断。

MCP 安全：要么锁死，要么销毁

如果企业正在使用 MCP ，务必将其视为一颗随时可能爆炸的手榴弹。需要采取以下措施：

• 身份验证和访问控制： 只有经过验证和签名的插件才能接入。例如，可以采用双因素认证、多因素认证等方式，确保只有授权用户才能访问 MCP 服务器。
• WAF和防火墙： 你的 AI 不需要与开放互联网通信。限制其访问权限，只允许其访问必要的内部资源。 使用Web应用防火墙(WAF)过滤恶意流量，保护 MCP 服务器免受攻击。
• 日志记录： 每一次交互都应该被不可变地记录下来，并经常审查。没有例外。 实施完善的日志审计制度，定期审查日志，及时发现异常行为。
• 速率限制和行为分析： 在异常行为演变成攻击之前阻止它。 MCP Guardian等工具可以作为策略执行层。可以将其视为上下文堆栈的零信任门卫。

威胁建模：针对一切，没错，是一切

如果一个插件连接到你的 AI ，它就是代码。如果是代码，那就是风险。因此，要对每个插件进行威胁建模。需要回答以下问题：

• 它会触及哪些系统？
• 如果它发生故障，会发生什么？
• 如果是恶意设计的呢？
• 它会生成日志吗？这些日志可以被操纵吗？

例如，假设你使用了一个用于总结文档的插件。你需要考虑以下风险：

• 该插件是否会将敏感文档发送到外部服务器进行处理？
• 该插件是否会存储文档内容，并被未经授权的用户访问？
• 如果该插件被攻击者利用，是否会导致数据泄露？

运行静态和动态分析。清理所有输入。假设即使是受信任的插件也可能在压力下泄漏或崩溃。

自动SAST：势在必行

你不应该猜测一个插件是否安全。将这种疑虑构建到你的CI/CD中。通过Semgrep等工具，你可以扫描每个插件，寻找硬编码的密钥、SQL注入、反序列化炸弹和可疑的网络调用。

将它包装在一个shim中（称之为autoSAST），现在你的管道为你完成了脏活累活。每一次提交都会被扫描。每一次更新都会被标记。每一次部署都会变得稍微不那么像一场赌博。

例如，你可以配置 Semgrep 在代码提交时自动扫描所有插件，并生成安全报告。如果发现任何安全漏洞，Semgrep 会立即通知开发者，并阻止代码合并到主分支。

安全防护不是可选项

MCP 是未来。我们不会回到为每个数据源手工编写代码的日子。但是，你不能选择不保护它。

• 每一个新插件都是一个新的入口。
• 每一个具有道德覆盖的模型都是一个潜在的合规性噩梦。
• 每一条没有防护的上下文管道都是一个等待发生的泄漏。

构建你的堆栈，就像你在防御一个比你更聪明的人一样。因为事实可能的确如此。

AI 不再是一个工具。它是一个具有root权限的伙伴。相应地对待它。

结论：拥抱安全，驾驭大模型时代

MCP 和类似的上下文集成技术为 大模型 应用带来了巨大的便利性和潜力。然而，这种便利性是以安全风险为代价的。企业必须意识到， AI 的上下文层是一个重要的攻击面，需要采取全面的安全措施进行保护。通过实施严格的身份验证和访问控制、漏洞扫描、威胁建模以及自动SAST等措施，企业可以最大限度地降低安全风险，安全地拥抱 大模型 时代。

仅仅依赖于 MCP 提供的便捷性而忽视安全，最终可能会得不偿失，甚至导致灾难性的后果。“即插即用”可能变成“即插即‘祈祷’”，祈祷不会发生安全事故。因此，企业应该从一开始就将安全融入 AI 战略，构建一个安全、可靠和可信赖的 大模型 生态系统。这不仅是为了保护企业自身，也是为了构建一个负责任和可持续的 AI 未来。 只有这样，我们才能真正驾驭 大模型 时代的浪潮，释放 AI 的全部潜力，并避免潜在的陷阱。

作者 Phil Stafford 提醒我们，构建你的堆栈，就像你在防御一个比你更聪明的人一样。 因为事实可能的确如此。 AI 是一个强大的工具，同时也潜藏着风险。我们必须以负责任的态度对待它，才能确保其安全和可持续的发展。